Конфигурирование безопасной передачи информации. Использование протоколов IPSec.Конфигурирование шифрующей файловой системы. Аутентификация с помощью службы RADIUS.

Защита на сетевом уровне (Протокол IPSEC)

Радикальное устранение уязвимостей компьютерных сетей возможно при создании системы защиты не для отдельных классов приложений, а для сети в целом. Применительно к IP-сетям это означает, что системы защиты должны действовать на сетевом уровне модели OSI. Преимущество такого выбора заключается в том очевидном факте, что в IP-сетях именно сетевой уровень отличается наибольшей гомогенностью: независимо от вышележащих протоколов, физической среды передачи и технологии канального уровня транспортировка данных по сети не может быть произведена в обход протокола IP. Поэтому реализация защиты сети на третьем уровне автоматически гарантирует как минимум такую же степень защиты всех сетевых приложений, причем без какой-либо модификации последних.
При формировании защищенных виртуальных каналов на сетевом уровне модели OSI достигается оптимальное соотношение между прозрачностью и качеством защиты. Размещение средств защиты на сетевом уровне делает их прозрачными для приложений, так как между сетевым уровнем и приложением функционирует реализация протокола транспортного уровня. Для пользователей процедуры защиты оказываются столь же прозрачными, как и сам протокол IP. На сетевом уровне существует возможность достаточно полной реализации функций защиты трафика и управления ключами, поскольку именно на сетевом уровне выполняется маршрутизация пакетов сообщений.
Стек протоколов IPSec используется для аутентификации участников обмена, туннелирования трафика и шифрования IP-пакетов. Основное назначение протокола IPSec (Internet Protocol Security) — обеспечение безопасной передачи данных по сетям IP. Поскольку архитектура IPSec совместима с протоколом IPv4, ее поддержку достаточно обеспечить на обоих концах, соединения; промежуточные сетевые узлы могут вообще ничего «не знать» об IPSec. Протокол IPSec может защищать трафик как текущей версии протокола IPv4, применяемой сегодня в Internet, так и трафик новой

версии IPv6, которая постепенно внедряется в Internet.

Особенности реализации средств IPSec

Выше было рассмортрено, что протоколы АН или ESP могут защищать передаваемые данные в двух режимах: туннельном, при котором IP-пакеты защищаются целиком, включая их заголовки, и транспортном, обеспечивающим защиту только содержимого IP-пакетов. Основным режимом является туннельный. В туннельном режиме исходный пакет помещается в новый IP-пакет и передача данных по сети выполняется на основании

заголовка нового IP-пакета. При работе в этом режиме каждый обычный IP-пакет помещается целиком в криптозащищенном виде в конверт IPSec, а тот в свою очередь инкапсулируется в другой защищенныйIP-пакет. Туннельный режим обычно реализуют

на специально выделенных шлюзах безопасности, в роли которых могут выступать маршрутизаторы или МЭ. Между такими шлюзами и формируются защищенные туннели IPSec.

После приема на другой стороне туннеля защищенные IP-пакеты «распаковываются» и полученные исходные IP-пакеты передаются компьютерам приемной локальной сети по стандартным правилам. Туннелирование IP-пакетов полностью прозрачно для обычных компьютеров в локальных сетях, являющихся держателями туннелей. На оконечных системах туннельный per жим может использоваться для поддержки удаленных и мобильных пользователей. В этом случае на компьютерах этих пользователей должно быть установлено ПО, реализующее туннельный режим IPSec.

В транспортном режиме передача IP-пакета через сеть выполняется с помощью исходного заголовка этого пакета. В конверт IPSec в криптозащищенном виде помещается только содержимое исходного IP-пакета и к полученному конверту добавляется исходный IP-заголовок. Транспортный режим быстрее туннельного и разработан для применения на оконечных системах. Этот режим может использоваться для поддержки удаленных и мобильных пользователей, а также защиты информационных потоков внутри локальных сетей. Следует отметить, что работа в транспортном режиме отражается на всех входящих в группу защищенного взаимодействия системах, и в большинстве случаев требуется перепрограммирование сетевых приложений.

Применение туннельного или транспортного режима зависит от требований, предъявляемых к защите данных, а также от роли узла, в котором работает IPSec. Узлом, завершающим защищенный канал, может быть хост (конечный узел) или шлюз (промежуточный узел). Соответственно

различают три основные схемы применения IPSec:
1) хост—хост;
2) шлюз—шлюз;
3) хост—шлюз.

В схеме 1 защищенный канал, или, что в данном контексте одно и то же, SA, устанавливается между двумя конечными узлами сети, т. е. хостами HI и Н2.

Протокол IPSec в этом случае работает на конечном узле и защищает данные, поступающие на него. Для хостов, поддерживающих IPSec, разрешается использовать как транспортный режим, так и туннельный.

В соответствии со схемой 2 защищенный канал устанавливается между двумя промежуточными узлами, называемыми шлюзами безопасности SG1 и SG2 (Security Gateway), на каждом из которых работает протокол IPSec

Защищенный обмен данными может происходить между любыми двумя конечными узлами, подключенными к сетям, которые расположены позади шлюзов безопасности. От конечных узлов поддержка протокола IPSec не требуется, они передают свой трафик в незащищенном виде через заслуживающие доверие сети Intranet предприятия. Трафик, направляемый в общедоступную сеть, проходит через шлюз безопасности, который и обеспечивает его защиту с помощью IPSec, действуя от своего имени. Шлюзам разрешается использовать только туннельный режим работы, хотя они могли бы поддерживать и транспортный режим, но он в этом случае малоэффективен.

При защищенном удаленном доступе часто применяется схема 3 хост—шлюз

Здесь защищенный канал организуется между удаленным хостом HI, на котором работает IPSec, и шлюзом SG, защищающим трафик для всех хостов, входящих в сеть Intranetпредприятия. Удаленный хост может использовать при отправке пакетов шлюзу как транспортный, так и туннельный режим, шлюз же отправляет пакеты хосту только в туннельном режиме.

Эту схему можно модифицировать, создав параллельно еще один защищенный канал — между удаленным хостом HI и каким-либо хостом Н2, принадлежащим внутренней сети, защищаемой шлюзом. Такое комбинированное использование двух SA позволяет надежно защитить трафик и во внутренней сети.

Рассмотренные схемы построения защищенных каналов на базе IPSec широко применяются при создании разнообразных виртуальных защищенных сетей VPN. Их спектр варьируется от провайдерских сетей, позволяющих управлять обслуживанием клиентов непосредственно на их

площадях, до корпоративных сетей VPN, разворачиваемых и управляемых самими компаниями. На базе IPSec успешно реализуются виртуальные защищенные сети любой архитектуры, включая VPN с удаленным доступом (Remote Access VPN), внутрикорпоративныеVPN (Intranet VPN) и межкорпоративные VPN (Extranet VPN).