Доклад. Лабораторная работа № 11 Протоколы коммутируемых соединений PAP,. Лабораторная работа 11 Протоколы коммутируемых соединений pap, chap, radius, diameter, ipsec
 Скачать 0.64 Mb.
|
|
Лабораторная работа № 11 Протоколы коммутируемых соединений PAP, CHAP, RADIUS, DIAMETER, IPSec Цель работы познакомиться с протоколами коммутируемых соединений PAP, CHAP, RADIUS, DIAMETER, IPSec Общие понятия PAP (Password Authentication Protocol) – протокол проверки пароля CHAP (Challenge-Handshake Authentication Protocol) – протокол идентификации запрос-подтверждение. RADIUS (Remote Authentication Dial-In User Service) – протокол, основанный на клиент-серверных операциях (используется система удалѐнной авторизации пользователей по коммутируемым линиям). DIAMETER – приемник RADIUS IPSec (Internet Protocol security) – базовый Интернет-протокол защищѐнной передачи данных через внешние каналы и сети. PAP и CHAP PAP – это процедура, позволяющая другой стороне (узлу или маршрутизатору) удостоверить себя. Эта операция выполняется после начального установления подтверждения: пара имя/пароль многократно посылается узлу пока не подтверждается идентификация или разрывается соединение. PAP не разрабатывалась как надѐжная процедура авторизации, пароли и имена посылаются открытым текстом и этот протокол используют тогда, когда пароль открытым текстом должен быть доступен при имитации входа в удалѐнную точку. CHAP является надѐжным протоколом авторизации. Как и PAP, он разработан для работы поверх РРР на коммутируемых линиях между узлами. CHAP периодически проверяет подсоединяемый узел посредством трѐхстороннего подтверждения в процессе начальной установки соединения. Кроме того, позже он может быть вызван в любое время. После завершения фазы установки канала связи РРР идентифицирующий узел посылает вызов другой стороне. Эта сторона должна вычислить одностороннюю хэш-функцию и послать результат обратно. Идентифицирующий проверяет полученную информацию и, проводя дополнительные вычисления, и отвечает подтверждением, если значения хэш-кодов совпали. В противном случае соединение разрывается. На рис. 1 показан пример обмена данными по протоколу CHAP.  Рис. 1. Пример авторизации по протоколу CHAP Протокол CHAP использует четыре вида сообщений: Вызов, Ответ, Успех и Неудача. CHAP при идентификации обычно использует MD5 RADIUS В случае большой организации обеспечение безопасности является сложной задачей. Работники компании, консультанты и еѐ клиенты нуждаются в доступе к информации, поэтому они могут подключаться к компьютерам организации практически отовсюду. Для того чтобы помочь организации обеспечить интегрированный подход к управлению системами безопасности были определены методы реализации сервера авторизации, включая центральную базу данных, используемую для удостоверения пользователей, соединяющихся по коммутируемым линиям, и дополнительную информацию, необходимую при идентификации таких пользователей для системы удалѐнной авторизации пользователей. Сервер, использующий систему RADIUS, может обращаться к другим серверам, необязательно применяющим RADIUS в своей работе. При таком подходе RADIUS-сервер служит в качестве модуля доступа к другим серверам. Настройка RADIUS На рис. 2 показана клиент-серверная конфигурация RADIUS. Пользователь соединяется с сервером доступа к сети (Network Access Server – NAS) по коммутируемому каналу связи. В свою очередь NAS является клиентом сервера RADIUS. Основной идеей является наличие центрального хранилища информации, обозначенного на рис. 2 значком базы данных.  Рис. 2. Настройка RADIUS Пример обмена сообщениями в RADIUS Запрос от клиента к RADIUS-серверу должен использовать общий секретный ключ так, как показано на рис. 3. Если начальная проверка пройдена, то сервер обращается к базе данных с целью проверки данных пользователя. Эта база данных содержит информацию, необходимую для авторизации пользователя.  Рис. 3. Пример обмена сообщениями в пакете RADIUS RADIUS работает поверх UDP – протокола дейтаграмм пользователя (User Datagram Protocol) по следующей причине: если запрос к главному серверу авторизации не удался, то нужно обратиться к вспомогательному серверу. Проблемы RADIUS Возможности RADIUS в некоторой степени ограничены из-за его структуры команд и атрибутов, что в результате привело к созданию новой системы. RADIUS работает поверх протокола UDP, который не имеет таймеров и механизмов пересылки потерянных данных. Поэтому производители программ разрабатывали свои собственные реализации таких функций. Кроме того, в предполагается, что сервер не посылает клиенту сообщений по своей инициативе. Приемник RADIUS – DIAMETRE – разрешил все эти проблемы. Архитектура IPSec IPSec (Internet Protocol security) – базовый Интернет-протокол защищѐнной передачи данных через внешние (untrusted) каналы и сети. IPSec имеет две базы – база данных правил безопасности (Security Policy Database – SPD) и база данных ассоциации безопасности (Security Association Database – SAD), являющиеся реализациями ассоциации безопасности (Security Association - SA) Возможности IPSec IPSec был разработан с целью обеспечения обмена данными по протоколу IP (IPv4 и IPv6) следующими возможностями: А) контроль доступа; Б)обеспечение сохранности (целостности) данных, независимой от соединения (connectionless integrity) В) идентификация происхождения; Г) защита от повторения, куда входит и частичное обеспечение целостности последовательности; Д) секретность/конфиденциальность (шифрование данных). IPSec – протоколы защиты передачи данных Эти возможности IPSec обеспечиваются двумя протоколами защиты передачи данных: - Authentication Header – AH -заголовок идентификации – он обеспечивает: сохранность (connectionless integrity), удостоверение происхождения данных, защиту от повторений. AH может использоваться как отдельно, так и совместно с ESP. - Encapsulated Security Payload – ESP - вложенные защищѐнные передаваемые данные -он предоставляет: конфиденциальность (шифрацию), ограниченную конфиденциальность потока данных, идентификацию (связанные операции сохранности данных (connectionless integrity) и удостоверения происхождения данных), защиту от повторений. Базы данных ассоциаций безопасности IPSec нуждается в большом количестве информации для обеспечения безопасности пользователей. Эти требования к безопасности хранятся в двух базах данных: базы данных правил безопасности (Security Policy Database - SPD) и базы данных ассоциаций безопасности (Security Association Database – SAD). Кроме того определено связанное с БД понятие – селектор. • База данных: базы данных правил безопасности (SPD): в ней хранятся правила IPSec, которые задают то, какой поток данных обрабатывается, и то, как этот поток данных обрабатывается (отвергнуть данные, обойти IPSec – данные не защищаются при помощи IPSec, применить IPSec – данные должны быть защищены IPSec). • База данных ассоциации безопасности (SAD): в SAD хранится информация о каждой активной ассоциации безопасности. Селектор: Набор полей IP и UDP, используемых SPD для отображения потока данных на правила безопасности. Селекторами являются: IP-адреса отправителя и получателя, имя DNS , идентификатор IP- протокола, номера портов отправителя и получателя. Содержание этих баз (то, как оно сконфигурировано администратором безопасности) управляет «поведением» IPSec. ТУННЕЛЬ IPSec. Понятие туннеля IPSec передаѐт идею безопасной передачи данных между двумя системами через внешнюю небезопасную сеть. Процесс передачи предполагает задействование правил безопасности, принятых в системах, между которыми эти данные передаются. Эти правила безопасности (также называемые мета-характеристиками) включают в себя адреса соединяющихся сторон, метод формирования (при помощи которого информация будет помещаться в блоки данных другого протоколами - какие заголовки и данные будут защищены в процессе передачи данных), шифровальные алгоритмы, параметры этих алгоритмов (сюда входит размер ключа и время его действия). Защищѐнный туннель IP относится ко всем процедурам (включая протоколы, методы шифрации и т.д.), которые обеспечивают защищѐнную передачу данных между двумя системами. Этот набор возможностей и называется ассоциаций безопасности (SA). На рис. 4 показано графическое представление этих понятий.  Рис. 4. Ассоциации безопасности (SA) и туннель безопасности IP Security Parameter Index – индекс параметров защиты (SPI) – один из идентификаторов SA. Он определяет то, как принимающая сторона будет обрабатывать поступающий поток данных. SA должна задаваться при помощи: А) SPI; Б) идентификатора протокола безопасности (AH или ESP). Обычно SA является однонаправленной – определяет выполняемые действия при передачи данных в одну сторону. Для двусторонней передачи данных используется две SA с одинаковыми мета-характеристиками, но различными ключами. SA могут быть сгруппированы вместе (пакеты) для обеспечения необходимых свойств защиты данных (одна SA – для шифрования данных, другая – для обеспечения их целостности). Правилам для таких пакетов SA является одинаковый IP- адрес получателя во всех SA пакетах. Типы SA: транспортный режим и туннельный режим В IPSec определены два режима SA. На рис. 5 приведены структуры IP-пакета – исходного, транспортного и туннельного режима. В случае использования ESP в этих пакетах появятся два дополнительных поля: ESP-концевик и MAC. Поле L_7 – обмен данными Интернета уровня 7, такой как FTP, HTTP, rlogin и т.п. Туннельный режим используется в том случае, когда существует туннель между двумя брандмауэрами или между брандмауэром и удалѐнной системой (сервером, например). Транспортный режим используется тогда, когда конечными точками являются конечные пользователи соединения.  Рис. 6. Режимы IPSec 1) На основе пройденного материала составить отчѐт, содержащий ответы на следующие вопросы: 1. Что общего и в чѐм разница протоколов PAP CHAP? 2. Приведите пример работы протокола CHAP. 3. Когда используют систему RADIUS? 4. Приведите пример обмена сообщениями в системе RADIUS. 5. Проблемы RADIUS. 6. С какой целью был разработан IPSec? 7. Возможности IPSec. 8. Протоколы IPSec. 9. Какая информация хранится в базах данных IPSec? 10. Что включается в ассоциацию безопасности SA? 11. Режимы SA. 2) Защитить работу. |