Сетевая безопасность Эталонная модель взаимодействия открытых систем.
Стремление к созданию единой, универсальной и открытой для изменений структуры привело к тому, что Международная организация по стандартизации (ISO-International Standard Organization) предложила концепцию архитектуры открытых систем, в соответствии с которой, распределенная информационно-вычислительная среда делится на ряд логических уровней, распложенных друг над другом, и называемых уровнями [14].
Общие свойства открытых систем рассматриваются в совокупности, как взаимосвязанные, и реализуются в комплексе:
- расширяемость/масштабируемость — extensibility/scalability,
- мобильность (переносимость) — portability,
- интероперабельность (способность к взаимодействию с другими системами)- interoperability,
- дружественность к пользователю, в том числе легкая управляемость -driveability.
- устранение избыточности программных кодов благодаря стандартизации программных интерфейсов или повторному использованию программ (reusability).
- процесс постепенного развития функций систем позволяет осуществлять замену отдельных компонентов без перестройки всей системы;
- условия соблюдения поставщиком соответствующих стандартов открытых систем дает независимость от поставщиков аппаратных или программных средств;
- возможность использования информационных ресурсов других систем
- возможность совместного использования прикладных программ, реализованных в разных ОС.
Модель osi
Для продолжения скачивания необходимо пройти капчу:
Защита компьютерных сетей модели osi
Основной проблемой Интернета как канала передачи информации является возможность атаки “man in the middle”. Злоумышленник подключается к линии между клиентом и сервером и подменяет передающуюся информацию. Возможны совершенно разные варианты этой атаки. Например, злоумышленник может «прикидываться» сервером и вводить клиента в заблуждение с целью извлечь выгоду из обмана. Следует отметить, что наиболее легко эту атаку может реализовать Интернет-провайдер. С целью обеспечения безопасного обмена разработаны различные протоколы защиты и созданы программные продукты, реализующие данные протоколы. Во всех подобных протоколах используются методы криптографии. Именно криптография позволяет:
Эти меры позволяют успешно противостоять атаке «man in the middle».
Защита на различных уровнях модели OSI
Наиболее распространенной моделью представления стека сетевых протоколов является модель OSI. Упрощенная модель OSI представлена на рисунке.
Что такое защита информации на каком-либо уровне модели OSI? Каждый последующий уровень сетевых пакетов инкапсулирован в предыдущем. То есть данные протокола прикладного уровня (например, HTTP) находится внутри пакета транспортного уровня (например, TCP), который находится внутри пакета сетевого уровня (например, IP), который находится внутри кадра канального уровня (например, кадра Ethernet).
При защите информации на сетевом уровне шифруется содержимое пакета IP, то есть пакет TCP. В другом варианте защиты на сетевом уровне шифруется целый пакет IP и данный зашифрованный пакет в свою очередь инкапсулируется. Такая дополнительная инкапсуляция позволяет скрыть топологию сетей участников обмена.
Следует отметить, что защита, например, на канальном уровне обеспечивает абсолютно «прозрачное» использование сетевого уровня.
Канальный уровень
Одним из программных продуктов, реализующих защиту на канальном уровне, является OpenVPN (www.openvpn.net). Данный продукт позволяет организовать закрытую сеть на базе Интернет. При подключении к такой сети клиент проходит процедуру строгой криптографической аутентификации по цифровому сертификату, что обеспечивает защиту от несанкционированного доступа к ресурсам сети. Кроме того, обеспечивается шифрование сетевого трафика при работе в сети. OpenVPN поддерживает режимы работы «мост» и «маршрутизатор». При работе в режиме «мост» происходит шифрование и инкапсуляция кадров Ethernet. Следует отметить, что если шифрование обеспечивает защиту от доступа к передаваемой информации, то из-за инкапсуляции злоумышленник не сможет выяснить адресата передаваемой информации.
Рассмотрим задачи, которые возможно решить с помощью OpenVPN в режиме «мост».
Подключение удаленного сотрудника к корпоративной ЛВС (VPN-шлюз)
Решение данной задачи предполагает использование серверной части OpenVPN в качестве дополнительного шлюза в ЛВС организации. Сегмент ЛВС, доступный через VPN-шлюз, обычно называют доменом шифрования. Рабочие места и сервера, входящие в домен шифрования, не подключаются к VPN. При подключении к серверу OpenVPN клиент получает прозрачный доступ ко всем машинам, находящимся в домене шифрования. Получат ли подобный доступ к машине клиента машины из домена шифрования, зависит от настроек сервера OpenVPN.
Объединение ЛВС филиалов организации в единую сеть
Другой задачей, которую можно решить с помощью OpenVPN, является объединение ЛВС филиалов организации в единую сеть через Интернет. В этом случае сервера OpenVPN устанавливается в качестве дополнительных шлюзов в свои ЛВС, а затем соединяются между собой.
Объединение сегментов ЛВС нескольких организаций в единую сеть для ведения совместного проекта (межкорпоративный портал)
Основной проблемой при создании межкорпоративного портала является логическое разделение сети организации на два сегмента, один из которых предоставляет свой ресурс организациям парнерам, а другой закрыт для них. Для решения данной проблемы одна из организаций разворачивает на внешем адресе сервер OpenVPN. На все рабочие места и сервера, участвующие в портале, устанавливается клиент OpenVPN, и эти машины подключаются к серверу.
Подключение к ЛВС удаленных пользователей с низким уровнем доверия
Решение данной задачи требуется для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.
Создание нескольких логических сетей в одной физической сети
Решение данной задачи требуется, например, когда надо разделить трафик между внутренними департаментами организации, которые обращаются к серверам из одного физического сегмента. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Этот вариант похож на технологию VLAN, но вместо разделения трафика, используется его шифрование.
Под серфингом понимаются любые действия пользователя в Интернет. При этом интернет-провайдеру данного пользователя становятся известны web-сайты, на которые ходил пользователь; адресаты писем пользователя и т.п. Использование OpenVPN в качестве дополнительного «логического» шлюза в интернет, установленного на территории организации, в которой работает пользователь, обеспечивает анонимность серфинга.
Доступ к серверу, не имеющему внешнего адреса (экономия внешних адресов)
OpenVPN в режиме «маршрутизатор» обеспечивает защиту информации на сетевом уровне. При этом так же происходит строгая атуентификация участников обмена по цифровому сертификату, но шифруются и инкапсулируются IP-пакеты, а не кадры Ethernet. Спектр задач, которые можно решить таким способом, в общем, не отличается от спектра задач, решаемых с помощью OpenVPN в режиме «мост». Следует иметь в виду, что режим «маршрутизатор» является более производительным, чем режим «мост», но имеет и свои недостатки. В частности, не поддерживаются:
В качестве «криптографического ядра» OpenVPN использует библиотеку OpenSSL. Фирмой Криптоком создана сертифицированная в ФСБ версия данной библиотеки – СКЗИ МагПро КриптоПакет. Кроме того, создан коммерческий продукт OpenVPN-ГОСТ. Данный продукт является полным аналогом OpenVPN, но все криптографические операции в нем производятся по алгоритмам ГОСТ 28147-89, ГОСТ 34.11-2012, ГОСТ 34.10-2012 с использованием сертифицированного СКЗИ МагПро КриптоПакет.
Транспортные соединения используются для доступа к конкретному сетевому сервису, например web-сайту, терминальному серверу, почтовому серверу, серверу базы данных и т.п. Логические «концы» соединения называются портами.
Защита соединений на транспортном уровне (TCP-соединений) осуществляется по протоколу SSL/TLS. После установки транспортного соединения клиент инициирует процедуру «рукопожатия» с сервером. В результате этой процедуры происходит аутентификация сервера и клиента по цифровому сертификату, стороны договариваются об используемых алгоритмах шифрования – шифрсьютах. Шифрсьюты специальным образом «привязываются» к портам защищаемого соединения. Благодаря этому, все данные, попадающие в настроенный таким образом транспортный канал, шифруются отправителем и расшифровываются адресатом.
Для реализации защиты транспортного соединения приложение, осуществляющее обмен, должно использовать криптографическую библиотеку, реализующую SSL/TLS.
Часто бывает, что приложение было написано без защиты, или же используемые им шифрсьюты не удовлетворяют требованиям к безопасности. Например, все web-браузеры и web-сервера используют для защиты шифрсьюты, реализованные по импортным алгоритмам, а в РФ ФСБ требует в ряде случаев использовать шифрсьюты, реализованные по ГОСТ.
Для решения указанной проблемы модуль обеспечения безопасности канала следует отделить от приложения. Существенным плюсом данной схемы является то, что сами приложения не приходится модифицировать.
Именно такую схему можно реализовать с помощью продуктов КриптоТуннель.
Использование этих продуктов позволяет обеспечить защиту практически любых прикладных протоколов и приложений, как-то:
Представленные средства защиты транспортного уровня являются исполнениями СКЗИ МагПро КриптоПакет, сертифицированного в ФСБ, и поэтому удовлетворяют всем требованиям регуляторов безопасности.