БЕЗОПАСНОСТЬ IP cетей
В настоящее время корпоративные компьютерные сети играют важную роль в деятельности многих организаций. Электронная коммерция из абстрактного понятия все более превращается в реальность. Большинство корпоративных сетей подключены к глобальной сети Internet. Если раньше Internet объединяла небольшое число людей, доверявших друг другу, то сейчас количество её пользователей неуклонно растет и уже составляет сотни миллионов. В связи с этим всё серьёзнее становится угроза внешнего вмешательства в процессы нормального функционирования корпоративных сетей и несанкционированного доступа с их ресурсам со стороны злоумышленников - так называемых "хакеров".
В основе функционирования всемирной сети Internet лежат стандарты IP -сетей. Каждое устройство в такой сети, однозначно идентифицируется своим уникальным IP -адресом. Однако при взаимодействии в IP -сети нельзя быть абсолютно уверенным в подлинности узла (абонента с которым осуществляется обмен информацией), имеющего определённый IP -адрес, т.к. средства программирования позволяют манипулировать адресами отправителя и получателя сетевых пакетов, и уже этот факт является частью проблемы обеспечения безопасности современных сетевых информационных технологий.
И мы все чаще слышим в СМИ слова "информационная безопасность", "произведена новая атака на компьютеры", "создан новый вирус", "ущерб от атаки составил... " и далее приводятся все более ошеломляющие цифры.... Все эти проблемы связаны с низким и недостаточным уровнем обеспечения безопасности в информационных системах. Значит, необходимо обеспечивать безопасность тех данных, которые хранятся в наших компьютерах.
Поэтому Я расскажу о протоколе, который позволяет обеспечить безопасность компьютерной сети на основе IP на уровне передачи данных по физическому каналу - о протоколе IPSec.(IP Security- безопасность)
Internet Protocol (IP) — межсетевой протокол. Относится к маршрутизируемым протоколам сетевого уровня семейства TCP/IP. Именно IP стал тем протоколом, который объединил отдельные подсети во всемирную сеть Интернет. Неотъемлемой частью протокола является адресация сети.(т.е.IP-адрес)
Свойства
IP объединяет сегменты сети в единую сеть, обеспечивая доставку данных между любыми узлами сети. Он классифицируется как протокол третьего уровня по сетевой модели OSI. IP не гарантирует надёжной доставки пакета до адресата. В частности, пакеты могут прийти не в том порядке, в котором были отправлены, продублироваться (приходят две копии одного пакета), оказаться повреждёнными (обычно повреждённые пакеты уничтожаются) или не прийти вовсе. Гарантию безошибочной доставки пакетов дают некоторые протоколы более высокого уровня — транспортного уровня сетевой модели OSI, — например, TCP, которые используют IP в качестве транспорта.
Что такое протокол IPSec?
IPSec - это протокол транспортного уровня передачи данных, созданный для обеспечения безопасного соединения компьютеров по протоколу IP. Так как сам по себе протокол IP не имеет никаких механизмов безопасности, то при его использовании можно перехватывать IP-пакеты с последующим их анализом, уничтожением, изменением или фальсификацией. С целью предотвращения ситуаций подобного рода сообществом Internet Engineering Task Force (IETF) и был создан протокол IPSec.
IPSec устанавливает четыре основных признака безопасного соединения по IP и надежной передачи данных:
- конфиденциальность данных (Confidentiality),
- их целостность (Integrity),
- идентификацию другой стороны и данных (Authentification) и
- фиксацию авторства (от данных нельзя отказаться - Non-Repudiation).
Какие технологии использует IPSec?
Для обеспечения этих требований в IPSec используются стандартные механизмы криптографии - информация защищается путем хэширования и шифрования. Для защиты информации в нем используется алгоритм и ключ.
- Алгоритм - последовательность математических действий, с помощью которых происходит преобразование информации,
- Ключ - секретный скрытый код (числовая последовательность), который необходим для чтения, изменения или проверки данных.
Сейчас доступно для использования большое количество различных алгоритмов:
- Diffie-Hellman
- DES
- TripleDES (3DES)
- MD5
- AES
- SHA-1
- OpenSSL
- Blowfidh
- и другие.
Способы безопасной передачи данных в IPSec
В IPSec возможно использование двух способов передачи: транспортного и туннельного. Перед передачей данных, IPSec согласовывает с партнером по сеансу связи уровень защиты, который будет использоваться в сеансе. Во время этого процесса определяются алгоритмы аутентификации, хэширования, туннелирования и шифрования. Туннелирование используется только в качестве дополнительной меры предосторожности только в тех случаях, если выбран туннельный способ передачи данных. Шифрование тоже не используется по умолчанию - его необходимо дополнительно определить с помощью политик IPSec. На этапе установления сеанса IPSec также создаются ключи, с помощью которых в дальнейшем будет проверяться подлинность данных. Ключи создаются только на локальных машинах и никогда не передаются по сети.
При транспортном способе передачи реальный IP-заголовок и IP-адрес не изменяется, а заголовок IPSec вставляется между заголовком IP и остальными заголовками или данными. В этом случае, данные могут быть защищены только аутентификацией и шифрованием.
При туннельном режиме заменяется весь заголовок IP-пакета вместе с IP-адресом, создается другой заголовок IP с другими IP-адресами.