Реферат: Защита информации в глобальной сети
Связь между Kerberos–областями.
Как уже было сказано выше, при использовании Kerberos–серверов сеть делится на области действия Kerberos. Схема доступа клиента, находящегося в области действия одного Kerberos–сервера, к ресурсам сети, расположенным в области действия другого Kerberos, осуществляется следующим образом. Оба Kerberos-сервера должны быть обоюдно зарегистрированы, то есть знать общие секретные ключи и, следовательно, иметь доступ к базам пользователей друг друга. Обмен этими ключами между Kerberos–серверами (для работы в каждом направлении используется свой ключ) позволяет зарегистрировать сервер выдачи разрешений каждой области как клиента в другой области. После этого клиент, требующий доступа к ресурсам, находящимся в области действия другого Kerberos–сервера, может получить разрешение от сервера выдачи разрешений своего Kerberos по описанному выше алгоритму. Это разрешение, в свою очередь, дает право доступа к серверу выдачи разрешений другого Kerberos–сервера и содержит в себе отметку о том, в какой Kerberos–области зарегистрирован пользователь. Удаленный сервер выдачи разрешений использует один из общих секретных ключей для расшифровки этого разрешения (который, естественно, отличается от ключа, используемого в пределах этой области) и при успешной расшифровке может быть уверен, что разрешение выдано клиенту соответствующей Kerberos–области. Полученное разрешение на доступ к ресурсам сети предъявляется целевому серверу для получения соответствующих услуг. Следует, однако, учитывать, что большое число Kerberos–серверов в сети ведет к увеличению количества передаваемой идентификационной информации при связи между разными Kerberos–областями. При этом увеличивается нагрузка на сеть и на сами Kerberos–серверы. Поэтому более эффективным следует считать наличие в большой сети всего нескольких Kerberos–серверов с большими областями действия, нежели использование множества Kerberos–серверов. Так, Kerberos-система, установленная компанией Digital Equipment для большой банковской сети, объединяющей отделения в Нью-Йорке, Париже и Риме, имеет всего один Kerberos–сервер. При этом, несмотря на наличие в сети глобальных коммуникаций, работа Kerberos–системы практически не отразилась на производительности сети.
Kerberos-5.
К настоящему времени Kerberos выдержал уже четыре модификации, из которых четвертая получила наибольшее распространение. Недавно группа, продолжающая работу над Kerberos, опубликовала спецификацию пятой версии системы, основные особенности которой отражены в стандарте RFC 1510. Эта модификация Kerberos имеет ряд новых свойств, из которых можно выделить следующие. Уже рассмотренный ранее механизм передачи полномочий серверу на действия от имени клиента, значительно облегчающий идентификацию в сети в ряде сложных случаев, является нововведением пятой версии. Пятая версия обеспечивает более упрощенную идентификацию пользователей в удаленных Kerberos-областях, с сокращенным числом передач секретных ключей между этими областями. Данное свойство, в свою очередь, базируется на механизме передачи полномочий. Если в предыдущих версиях Kerberos для шифрования использовался исключительно алгоритм DES (Data Encryption Standard – Стандарт Шифрования Данных), надежность которого вызывала некоторые сомнения, то вданной версии возможно использование различных алгоритмов шифрования, отличных от DES.
Заключение.
Многие производители сетевого и телекоммуникационного оборудования обеспечивают поддержку работы с Kerberos в своих устройствах. Так, фирма TELEBIT, являясь крупнейшим поставщиком маршрутизаторов для связи по коммутируемым и выделенным линиям, недавно анонсировала поддержку Kerberos–клиента семейством маршрутизаторов NetBlazer. Снабженные UNIX–подобной операционной системой, устройства NetBlazer обеспечивают их удаленное конфигурирование по сети с помощью функций telnet и rlogin .Поэтому работоспособность сети, в особенности если это сеть достаточно больших размеров, сильно зависит от защищенности коммуникационных узлов, которыми являются маршрутизаторы NetBlazer, от непредвиденных или злонамеренных изменений конфигурации. Использование Kerberos в таких сетях позволит обеспечить доступ к внутренним установкам маршрутизатора только администраторам сети. Следует, однако, отметить, что использование Kerberos не является решением всех проблем, связанных с попытками несанкционированного доступа в сеть (например, он бессилен, если кто-либо узнал пароль пользователя), поэтому его наличие не исключает других стандартных средств поддержания соответствующего уровня секретности в сети. Несмотря на это, Kerberos в настоящее время является одним из наиболее известных способов защиты сети от несанкционированного доступа. Основываясь исключительно на программных средствах и не требуя дополнительных “железных” устройств, он обеспечивает защиту сети с минимальным воздействием на трафик. Kerberos обеспечивает такой уровень защиты сети, при котором подключение к ней не дает возможности доступа к важной информации без регистрации пользователя в секретной базе Kerberos (что может быть проделано только с участием администратора сети). При этом для пользователя сети такая защита практически прозрачна, поскольку требует от него лишь дополнительного ввода пароля.
В случае с Kerberos неприятность заключалась не в алгоритме шифрования, а в способе получения случайных чисел, т.е. в методе реализации алгоритма. Когда в октябре прошлого года пришло известие о просчетах в системе генерации случайных чисел в программных продуктах Netscape, обнаруженных студентами университета Беркли, Стивен Лодин обнаружил подобную неприятность с Kerberos. Совместно с Брайаном Доулом он сумел найти брешь и в системе Kerberos. Действующие лица этой истории – не дилетанты. Выпускники университета Purdue (штат Иллинойс) сотрудничали с лабораторией COAST (Computer Operations, Audit and Security Technology), профессионально занятой вопросами компьютерной безопасности и руководимой проф. Спаффордом, который является также основателем PCERT (Purdue Computer Emergency Response Team) – университетского отряда “быстрого реагирования” на компьютерные ЧП. PCERT, в свою очередь, член аналогичной международной организации FIRST (Forum of Incident Response Team).
Характерно содержание первого обращения к прессе (от 16 февраля 1996 г.), которое от лица первооткрывателей сделал проф. Спаффорд. В нем, наряду с информацией о ненадежности системы паролей и возможностях ее взлома в течение пяти минут, говорится о задержке дальнейшего распространения технической информации до тех пор, пока разработчиками не будут внесены коррективы препятствующие несанкционированному доступу.
4. Виртуальные частные сети.
Одной из важнейших задач является защита потоков корпоративных данных, передаваемых по открытым сетям. Открытые каналы могут быть надежно защищены лишь одним методом – криптографическим.
Так называемые выделенные линии не обладают особыми преимуществами перед линиями общего пользования в плане информационной безопасности. Выделенные линии хотя бы частично будут располагаться в неконтролируемой зоне, где их могут повредить или осуществить к ним несанкционированное подключение. Единственное реальное достоинство – это гарантированная пропускная способность выделенных линий, а вовсе не какая-то повышенная защищенность. Впрочем, современные оптоволоконные каналы способны удовлетворить потребности многих абонентов, поэтому и указанное достоинство не всегда облечено в реальную форму.
Любопытно упомянуть, что в мирное время 95 % трафика Министерства обороны США передается через сети общего пользования (в частности через). В военное время эта доля должна составлять «лишь» 70 %. Можно предположить, что Пентагон – не самая бедная организация. Американские военные полагаются на сети общего пользования потому, что развивать собственную инфраструктуру в условиях быстрых технологических изменений – занятие очень дорогое и бесперспективное, оправданное даже для критически важных национальных организаций только в исключительных случаях.
Представляется естественным возложить на межсетевой экран задачу шифрования и дешифрования корпоративного трафика на пути во внешнюю сеть и из нее. Чтобы такое шифрование/дешифрование стало возможным, должно произойти начальное распределение ключей. Современные криптографические технологии предлагают для этого целый ряд методов.
После того, как межсетевые экраны осуществили криптографическое закрытие корпоративных потоков данных, территориальная разнесенность сегментов сети проявляется лишь в разной скорости обмена с разными сегментами. В остальном вся сеть выглядит как единое целое, а от абонентов не требуется привлечение каких-либо дополнительных защитных средств.
Пожалуй, нигде слово виртуальный не получило столь широкого распространения, как в сфере информационных технологий: виртуальная память, виртуальная машина, виртуальная реальность, виртуальный канал, виртуальный офис. Это произошло благодаря возможности так запрограммировать логику функционирования объекта, что для пользователя его (логические) поведение и свойства никак не будут отличаться от реального прототипа. Бегство в «виртуальный мир» может быть вызвано, скажем, принципиальной невозможностью оперировать с реальным объектом, экономическими соображениями либо временным фактором.
Виртуальные частные сети (Virtual Private Networks - VPN) являются не только «горячей» темой для индустриальных аналитиков, но привлекают также пристальное внимание как провайдеров сетевых услуг (Network Service Provider - NSP) и Internet-провайдеров (ISP), так и корпоративных пользователей. Компания Infonetics Research прогнозирует, что рынок VPN будет расти более чем на 100 % ежегодно вплоть до 2001 г., и его объем достигнет 12 млрд. долл. Она также сообщает, что 92 % крупных Internet-провайдеров и 60 % от общего числа ISP планируют предоставлять услуги VPN к концу 1998 г.
Прежде чем переходить к анализу причин, вызвавших столь бурный рост популярности VPN, напомним, что просто частные (корпоративные) сети передачи данных строятся, как правило, с использованием арендованных (выделенных) каналов связи коммутируемых телефонных сетей общего пользования (Public Switched Telephone Network - PSTN). В течение многих лет такие частные сети проектировались с учетом конкретных корпоративных требований, что в результате транслировалось в фирменные протоколы, поддерживающие фирменные же приложения (правда, в последнее время приобрели популярность протоколы Frame Relay и ATM). Выделенные каналы позволяют обеспечить надежную защиту конфиденциальной информации, однако оборотная сторона медали – это высокая стоимость эксплуатации и трудности при расширении сети, не говоря уже о возможности подключения к ней мобильного пользователя в непредусмотренной точке. В то же время для современного бизнеса характерны значительное рассредоточение и мобильность рабочей силы. Все больше пользователей нуждается в доступе к корпоративной информации посредством коммутируемых каналов, увеличивается также количество сотрудников, работающих на дому. Западные аналитики предсказывают, что к концу 1999 г. 80 % корпоративных пользователей будут иметь, по крайней мере, по одному портативному компьютеру (безусловно, проекция этого предсказания на Украину может вызвать только улыбку, но рано или поздно украинская экономика, изнасилованная прогрессом, вынуждена будет принять правила игры, диктуемые промышленно развитыми странами).
Далее, частные сети не в состоянии обеспечить такие же возможности для коммерческой деятельности, которые предоставляет Internet и IP-базированные приложения, к примеру, продвижение продукции, поддержка заказчиков или постоянная связь с поставщиками. Такое взаимодействие в режиме on-line требует объединения частных сетей, которые, как правило, используют разные протоколы и приложения, разные системы управления сетью и разных поставщиков услуг связи.
Таким образом, высокая стоимость, статичность и трудности, возникающие при необходимости объединить частные сети, базирующиеся на разных технологиях, вступают в противоречие с динамически развивающимся бизнесом, его стремлением к децентрализации и проявляющейся в последнее время тенденцией к слиянию компаний.
В то же время параллельно существуют лишенные этих недостатков сети передачи данных общего пользования и Internet, буквально окутавшая своей «паутиной» весь земной шар. Правда, они лишены и наиболее важного достоинства частных сетей – надежной защиты корпоративной информации. Технология виртуальных частных сетей и позволяет объединить гибкость, масштабируемость, низкую стоимость и доступность буквально в режиме «anytime anywhere» Internet и сетей общего пользования с безопасностью, характерной для частных сетей. По своей сути VPN являются частными сетями, которые для передачи трафика используют глобальные сети общего доступа (Internet, Frame Relay, ATM). Виртуальность же проявляется в том, что для корпоративного пользователя они представляются выделенными частными сетями. Рассмотрим основные требования, которые предъявляются к виртуальным частным сетям.
4.1. СОВМЕСТИМОСТЬ.
Проблемы совместимости не возникают, если VPN прямо используют службы Frame Relay и ATM, поскольку они довольно хорошо приспособлены для работы в мультипротокольной среде и пригодны как для IP-, так и для не IP–приложений. Все, что требуется в этом случае, так это наличие соответствующей сетевой инфраструктуры, покрывающей необходимый географический район. В качестве устройств доступа чаще всего используются Frame Relay Access Device (FRAD) или маршрутизаторы с интерфейсами Frame Relay и ATM. Многочисленные постоянные или коммутируемые виртуальные каналы могут работать (виртуально) с любой смесью протоколов и топологий. Дело осложняется, если VPN базируется на Internet. В этом случае требуется, чтобы приложения были совместимы с IP–протоколом. При условии выполнения этого требования для построения VPN можно использовать Internet «как она есть», предварительно обеспечив необходимый уровень безопасности. Но поскольку большинство частных сетей являются мультипротокольными или используют неофициальные, внутренние IP–адреса, то они не могут прямо, без соответствующей адаптации подключиться к Internet. Существует множество решений, обеспечивающих совместимость. Наиболее популярными являются следующие:
- преобразование существующих протоколов (IPX, NetBEUI, AppleTalk или других) в IP–протокол с официальным адресом;
- преобразование внутренних IP–адресов в официальные IP–адреса;
- установка специальных IP–шлюзов на серверы;
- использование виртуальной IP–маршрутизации;
- использование универсальной техники туннелирования.
Первый способ, по крайней мере концептуально, понятен, поэтому остановимся вкратце на остальных.
Преобразование внутренних IP-адресов в официальные необходимо в том случае, когда частная сеть базируется на IP-протоколе. Для внутренней адресации обычно используются адреса класса В, которые лежат в диапазоне 192.168.0.0 - 192.168.255.255, что позволяет идентифицировать 65536 узлов. Преобразование адресов для всей корпоративной сети не является необходимым, так как официальные IP-адреса могут сосуществовать с внутренними в коммутаторах и маршрутизаторах сети предприятия. Другими словами, сервер с официальным IP-адресом по-прежнему доступен клиенту частной сети через локальную инфраструктуру. Наиболее часто используют технику разделения небольшого блока официальных адресов многими пользователями. Она подобна разделению пула модемов, поскольку также опирается на предположение, что не все пользователи одновременно нуждаются в доступе к Internet. Здесь существуют два индустриальных стандарта: протокол динамической конфигурации хостов (Dynamic Host Configuration Protocol - DHCP) и трансляция сетевых адресов (Network Adress Translation - NAT), подходы которых слегка различаются. DHCP «сдает» узлу адрес в аренду на время, определяемое администратором сети, тогда как NAT транслирует внутренний IP-адрес в официальный динамически, на время сеанса связи с Internet.
Другим способом сделать частную сеть совместимой с Internet является установка IP–шлюза. Шлюз транслирует не IP–протоколы в IP-протоколы и наоборот. Большинство сетевых операционных систем, использующих нативные протоколы, имеют программное обеспечение для IP–шлюза.
Сущность виртуальной IP–маршрутизации заключается в расширении частных маршрутных таблиц и адресного пространства на инфраструктуру (маршрутизаторы и коммутаторы) Internet–провайдера. Виртуальный IP–маршрутизатор является логической частью физического IP–маршрутизатора, принадлежащего и функционирующего у сервис-провайдера. Каждый виртуальный маршрутизатор обслуживает определенную группу пользователей.
