Главная Случайная страница


Категории:

ДомЗдоровьеЗоологияИнформатикаИскусствоИскусствоКомпьютерыКулинарияМаркетингМатематикаМедицинаМенеджментОбразованиеПедагогикаПитомцыПрограммированиеПроизводствоПромышленностьПсихологияРазноеРелигияСоциологияСпортСтатистикаТранспортФизикаФилософияФинансыХимияХоббиЭкологияЭкономикаЭлектроника






Этап получения сеансового билета

Когда клиенту требуется получить доступ к ресурсам некоторого сервера, он обращается к службе предоставления билетов TGS с запросом о выдаче сеансового билета для соединения с данным сервером. В запрос включается следующая информация (рис 9.4):

• {AC}KC,TGS – аутентификатор клиента AC, зашифрованный с помощью ключа KC,TGS;

• {TGT}KTGS – билет на выдачу билетов TGT, зашифрованный ключом KTGS;

• S – информация о сервере, с которым требуется установить соединение;

• t – время отправки запроса.

Аутентификатор клиента позволяет службе TGS удостовериться, что клиент является тем, за кого себя выдает. Использование билетов TGT экономит время: служба предоставления ключей TGS не обращается к базе данных центра распределения ключей KDC. На запрос клиента служба TGS в случае успешной аутентификации отвечает следующей информацией:

• {KC,S, t} KC,TGS – сеансовый ключ KC,S для связи клиента с сервером, а также время создания ключа; оба параметра зашифрованы ключом

• {TC,S}KS – сеансовый билет TC,S, зашифрованный при помощи ключа KS, известного только службе TGS и серверу. Сеансовый билет предназначен только серверу, клиент не в состоянии его прочитать. Сеансовый ключ KC,S генерируется случайным образом, поэтому при каждом новом запросе (даже для связи с одним и тем же сервером) клиент

будет получать новые сеансовые ключи. Клиент может расшифровать сеансовый ключ, так как он зашифрован ключом KC,TGS, известным клиенту.

Сеансовый билет TC,S содержит следующие данные:

• имя сервера;

• имя клиента;

• сеансовый ключ;

• время начала действия билета;

• время окончания действия билета;

• список возможных сетевых адресов клиента.

Последний элемент является необязательным и применяется для дополнительной защиты – в этом случае клиенты не могут соединяться с сервером с адресов, не перечисленных в списке. Сеансовые билеты, полученные клиентом для разных серверов, сохраняются в кэш-памяти. Таким образом, если клиенту требуется получить доступ к какому-либо серверу, сначала осуществляется поиск в кэш-памяти сеансовых билетов для этого сервера. При отсутствии таковых клиент извлекает билет TGT из кэш-памяти и обращается с запросом к службе TGS.


48. Этапы аутентификации: доступ к серверу.

Этап доступа к серверу

Получив сеансовый билет TC,S и сеансовый ключ KC,S, клиент может проходить процедуру аутентификации на требуемом сервере и в случае успешного прохождения начинать обмен данными. Запрос на аутентификацию включает следующие параметры (рис. 9.5):

• {AC}KC,S – аутентификатор AC, зашифрованный ключом KC,S. Содержит информацию об имени клиента, времени отправления, а также ключ KC,S;

• {TC,S}KS – сеансовый билет, зашифрованный ключом KS.

Подлинность клиента удостоверятся следующим образом. В аутентификатор AC клиент записывает ключ KC,S. Сервер, расшифровав сеансовый билет TC,S с помощью своего секретного ключа KS, извлекает из него ключ KC,S и сравнивает с ключом, полученным из аутентификатора. Если ключи совпадают, клиент является подлинным, так как он не мог изменить содержимое сеансового билета TC,S. Если клиенту требуется подтверждение подлинности сервера, тот отправляет ответ, который содержит аутентификатор сервера AS, включающий параметр времени отправления из аутентификатора клиента АС. Без знания секретного ключа KS извлечь данный параметр из запроса клиента невозможно. Следовательно, если время отправления запроса сервер передал верно, он считается аутентифицированным.

 


49. Протокол IPSecurity: функции, структура.

Протокол IPsec

Протокол Kerberos применяется для аутентификации участников соединения. Но и после этапа аутентификации данные, передаваемые по сети, следует защищать. Стандартные протоколы стека TCP/IP, такие, как IP, TCP, UDP, не обладают встроенными средствами защиты. На эту проблему в 1994 году обратил внимание Совет по архитектуре Интернета (Internet Architecture Board, IAB), издав RFC 1636 «Report of IAB Workshop on Security in the Internet Architecture» («Отчет семинара IAB по безопасности в архитектуре Интернета»). Инициированная этим сообщением работа привела к появлению протокола IPsec (IP Security – безопасность IP), описанного в нескольких стандартах RFC (в частности, в RFC 2401-2412). Новая технология безопасности является необходимой частью протокола IPv6, а также может применяется и в сетях IPv4. Протокол IPsec действует на сетевом уровне модели OSI и может применяться независимо от протоколов верхнего уровня, т. е. прикладной протокол может использовать IPsec, считая, что работает с обычным протоколом IP. При этом данные протоколов верхних уровней упаковываются в пакеты IPsec, которые, в свою очередь, помещаются в пакеты протокола IP.

Функции протокола IPsec

Протокол IPsec обеспечивает наличие следующих функций:

• аутентификация – приемник пакетов в состоянии проверить подлинность источника

• целостность – осуществляется контроль того, что данные дойдут до получателя в неизменном виде;

• конфиденциальность – шифрование данных обеспечивает их недоступность для несанкционированного просмотра;

• распределение секретных ключей – для правильной работы протокола IPsec необходимо автоматически обеспечивать источник и приемник пакетов секретными ключами для шифрования и расшифрования.

Для реализации представленных функций используются три основных протокола:

• AH (Authentication Header – заголовок аутентификации) обеспечивает целостность и аутентичность;

• ESP (Encapsulating Security Payload – инкапсуляция зашифрованных данных) предоставляет функции целостности, аутентичности и конфиденциальности;

• IKE (Internet Key Exchange – обмен ключами Интернета) генерирует и распределяет секретные ключи.

Можно заметить, что протокол ESP имеет схожие функции с протоколом AH. Пересечение функций вызвано тем, что на применение протоколов шифрования во многих странах накладываются определенные ограничения. В связи с этим оба протокола могут применяться независимо, хотя наивысший уровень защиты достигается при их совместном использовании.

На рис. 9.6 представлена структура протокола IPsec и взаимосвязь

основных протоколов, входящих в его состав.


 

50. Пртоколы AH и ESP.

Протоколы AH и ESP

Протокол AH (описан в RFC 2402) снабжает пакет IPsec своим незашифрованным заголовком, который обеспечивает:

– аутентификацию исходных данных;

– целостность данных;

– защиту от дублирования уже полученных данных.

Первые две функции протокола AH реализуются путем применения алгоритмов хеширования (MD51 или SHA12) к исходным данным. Процедура хеширования осуществляется источником с помощью секретного ключа, который был выдан источнику и приемнику пакета с использованием протокола IKE. Полученное значение хеша помещается в специальное поле заголовка AH. Приемник также осуществляет процедуру хеширования, применяя тот же секретный ключ. В том случае, если вычисленный хеш совпадает с хешем, извлеченным из пакета, данные считаются аутентифицированными и целостными. Иначе пакет в процессе передачи подвергся каким-либо изменениям и не является правильным. Функция защиты от дублирования уже полученных пакетов осуществляется с помощью поля номера пакета в заголовке AH. В это поле приемник заносит значение счетчика, увеличивающееся при отправке каждого пакета на единицу. Приемник отслеживает номера получаемых пакетов, и, если такой номер совпадает с недавно полученным, пакет отбрасывается.

Протокол ESP (описан в RFC 2406) решает задачи, подобные протоколу AH, – обеспечение аутентификации и целостности исходных данных, а также защиту от дублирования пакетов. Кроме того, протокол ESP предоставляет средства обеспечения конфиденциальности данных при помощи алгоритмов шифрования.

Задачи аутентификации, целостности и защиты от дублирования решаются теми же методами, что и в протоколе AH. Передаваемый пакет, за исключением нескольких служебных полей, шифруется с применением алгоритмов шифрования DES и 3DES (DES с тремя ключами).

 


51. Протокол IKE.

Протокол IKE

Управление секретными ключами в протоколе IPsec осуществляется при помощи протокола IKE (описан в RFC 2409). Данный протокол основан на двух протоколах: ISAKMP (Internet Security Association and Key Management Protocol – протокол межсетевой ассоциации защиты и управления ключами) и протоколе определения ключей Оакли (Oakley Key Протокол IKE устанавливает соединение между двумя узлами сети, называемое безопасной ассоциацией (Security Association, SA). Безопасная ассоциация обеспечивает передачу защищенных данных только в одну сторону, поэтому для установки двустороннего соединения требуется определить две безопасные ассоциации. Для аутентификации узлов безопасной ассоциации, согласования между ними методов хеширования и шифрования IKE использует протокол ISAKMP (описан в RFC 2408). Для генерации и обмена секретными ключами IKE использует протокол определения ключей Оакли (описан в RFC 2412), разработанный на основе метода обмена ключами Диффи-Хэллмена (Diffie-Hellman). В этом методе секретный ключ генерируется на двух узлах путем обмена двумя числами через открытую сеть. При этом перехват чисел не даст информации о ключах.

 

 


 

52. Понятие удаленного доступа. Виды коммутируемых линий.

Удаленный доступ

Компьютерная сеть многих организаций не ограничивается локальной сетью, размещенной в одном или нескольких близко расположенных зданиях. Пользователи могут находиться на большом удалении от основного офиса, например, если филиал находится в другом городе или если сотрудник организации уезжает в командировку в другую страну с Возможность использования удаленными пользователями ресурсов локальной сети называется удаленным доступом (remote access). Различают два основных вида удаленного доступа:

– соединение по коммутируемой линии (dial-up connection);

– соединение с использованием виртуальных частных сетей (Virtual

Оба вида соединений работают по модели «клиент-сервер». Клиент удаленного доступа – это компьютер, который имеет возможность подключаться к удаленному компьютеру и работать с его ресурсами или с ресурсами удаленной сети так же, как с ресурсами своей локальной сети. Единственное отличие удаленной работы от локальной с точки зрения клиента – более низкая скорость соединения. Сервер удаленного доступа (Remote Access Server, RAS) – это компьютер, способный принимать входящие запросы от клиентов удаленного доступа и предоставлять им собственные ресурсы или ресурсы своей локальной сети. Компьютер с установленной операционной системой Windows Server 2003 может исполнять роль как клиента удаленного доступа, так и сервера. В последнем случае на нем должна быть запущена Служба маршрутизации и удаленного доступа (Routing and Remote Access Service,..

Виды коммутируемых линий

Соединения по коммутируемым линиям могут осуществляться с использованием следующих средств связи.

• Телефонные сети – наиболее распространенный и дешевый вариант, хотя и самый медленный (максимальная скорость передачи данных 56,6 кбит/с). Предполагает установку модемов на клиенте и сервере.

• Сети ISDN (Integrated Services Digital Network – цифровая сеть с комплексными услугами) обеспечивают скорость передачи данных 128 кбит/с, но их использование дороже, чем использование обычных• ATM поверх ADSL – передача трафика АТМ (Asynchronous Transfer Mode – асинхронный режим передачи) посредством линий ADSL (Asymmetric Digital Subscriber Line – асимметричная цифровая абонентская линия). В последнее время технология ADSL получила широкое развитие, так как обеспечивает высокую скорость передачи данных по обычным телефонным линиям, причем предел скорости постоянно увеличивается и составляет уже более 20 Мбит/с для входящего трафика и 1 Мбит/с для Для соединения посредством виртуальных частных сетей компьютер- клиент и компьютер-сервер должны быть подключены к Интернету. В лекции сначала рассматриваются принципы организации соединений по коммутируемым линиям, затем основные понятия и протоколы виртуальных частных сетей.


53. Протоколы удаленного доступа.

Протоколы удаленного доступа

Подключение клиента к серверу удаленного доступа по коммутируемым линиям состоит из следующих основных этапов:

- установка соединения;

- аутентификация и авторизация клиента удаленного доступа;

- сервер удаленного доступа выступает в роли маршрутизатора, предоставляя доступ клиенту к ресурсам локальной сети – серверам баз данных, электронной почты, файловым серверам, принтерам и т.д.

Схема подключения представлена на рис. 10.1.

Для соединений удаленного доступа по коммутируемым линиям было разработано несколько специальных протоколов. Windows Server 2003 поддерживает два протокола удаленного доступа:

– протокол SLIP (Serial Line Internet Protocol – межсетевой протокол для последовательного канала);

– протокол РРР (Point-to-Point Protocol – протокол соединения «точка-точка»).

Протокол SLIP является одним из старейших протоколов удаленного доступа и предлагает передачу TCP/IP-пакетов без обеспечения безопасности данных и контроля целостности. Протокол описан в RFC 1055. В Windows Server 2003 поддержка протокола SLIP реализована только на уровне клиента.

Протокол РРР предназначен для коммутируемых соединений типа «точка-точка». Это означает, что в протоколе отсутствуют средства адресации, поэтому в процессе связи могут принимать участие только два компьютера – клиент и сервер.

Протокол РРР, в отличие от SLIP, обеспечивает функции безопасностии контроля ошибок. Описание протокола содержится в RFC 1332, 1661 и 1662.

Соединение «точка-точка» устанавливается в четыре этапа:

1. Настройка параметров канального уровня. Клиент и сервер

согласовывают максимальный размер кадра, возможность сжатия, протокол аутентификации и некоторые другие параметры.

2. Аутентификация клиента. Сервер осуществляет аутентификацию и авторизацию клиента на основе протокола, выбранного на предыдущем этапе.

3. Обратный вызов (callback). В целях безопасности может использоваться процедура обратного вызова, когда сервер разрывает соединение с клиентом и сам вызывает его по определенному телефонному номеру.

4. Настройка протоколов верхних уровней. Сервер отправляет клиенту список протоколов верхних уровней, отвечающих за передачу данных, шифрование и сжатие. Клиент выбирает один из подходящих протоколов списка.

 


54. Протоколы аутентификации в процедурах удаленного доступа.

Протоколы аутентификации

Важнейшим этапом при установлении соединения удаленного доступа является аутентификация клиента. В большинстве случаев аутентификация осуществляется путем передачи пароля.

Разработано несколько протоколов, используемых для аутентификации

• PAP – протокол аутентификации по паролю (описан в RFC 1334). Самый простой протокол аутентификации, в котором имя пользователя и пароль передаются открытым, незашифрованным способом. В Windows Server 2003 протокол PAP применяется только в том случае, если клиент удаленного доступа не поддерживает никаких протоколов.

• CHAP – протокол аутентификации с предварительным согласованием вызова (описан в RFC 1994). В этом протоколе клиент посылает серверу пароль в виде специальной хеш-последовательности, созданной с использованием алгоритма MD-5.

Сервер принимает хеш пароля клиента, вычисляет хеш по хранимому у себя паролю и сравнивает обе последовательности. В случае совпадения соединение устанавливается, иначе происходит разрыв. Недостатком является отсутствие взаимной аутентификации, т. е. сервер аутентифицирует клиента, а клиент не получает информации о сервере.

• MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) –реализация протокола CHAP, разработанная Microsoft (описан в RFC 2433). Действует по принципу протокола CHAP, за исключением того, что для хеширования используется алгоритм MD-4, а не MD-5.

• MS-CHAP v2 – вторая версия протокола MS-CHAP (описан в RFC 2759). Также применяется алгоритм хеширования MD-4, отличием является требование взаимной аутентификации. Между клиентом и сервером происходит обмен следующими сообщениями:

– сервер отправляет клиенту сообщение, содержащее некоторую последовательность символов, называемую строкой вызова;

– клиент отправляет серверу хеш-последовательность, полученную на основе строки вызова и пароля пользователя, а также свою строку вызова для сервера;

– сервер вычисляет хеш по своей строке вызова и пользовательскому паролю, сравнивает его с полученным хешем от клиента и в случае успеха отправляет хеш, вычисленный на основе своей строки вызова, строки вызова от клиента, имени и

пароля пользователя;

– клиент, получая сообщение сервера, вычисляет хеш на основе тех же данных, и в случае совпадения вычисленного хеша с полученным от сервера процесс взаимной аутентификации считается законченным успешно.

• EAP (Extensible Authentication Protocol) – расширяемый протокол аутентификации (описан в RFC 2284). Отличается от выше описанных протоколов тем, что выбор типа аутентификации EAP происходит в процессесоединения. В Windows Server 2003 применяются следующие типы аутентификации EAP: EAP-MD5 CHAP, EAP-TLS (Transport Level Security, безопасность на транспортном уровне), PEAP (Protected EAP, защищенный EAP).


55. Основные понятия и виды виртуальных сетей.

Основные понятия и виды виртуальных частных сетей

Соединение посредством коммутируемых линий долгое время оставалось единственным решением проблемы связи локальных сетей удаленными пользователями. Однако данное решение является довольно дорогим и недостаточно безопасным. В последние годы стоимость использования каналов связи Интернета

стала уменьшаться и скоро стала ниже, чем цена использования коммутируемых линий. Однако при установлении соединения через Интернет серьезной проблемой является обеспечение безопасности, так как сеть является открытой и злоумышленники могут перехватывать пакеты с конфиденциальной информацией. Виртуальные частные сети – это защищенное соединение двух узлов через открытые сети. При этом организуется виртуальный канал, обеспечивающий безопасную передачу информации, а узлы, связанные VPN, могут работать так, как будто соединены напрямую. Компьютер, инициирующий VPN-соединение, называется VPN-клиентом. Компьютер, с которым устанавливается соединение, называется VPN-сервером. VPN-магистраль – это последовательность каналов связи открытой сети, через которые проходят пакеты виртуальной частной сети.

Существует два типа VPN-соединений:

– соединение с удаленными пользователями (Remote Access VPN Connection);

– соединение маршрутизаторов (Router-to-Router VPN Connection).

Соединение с удаленными пользователями осуществляется в том случае, если одиночный клиент подключается к локальной сети организации через VPN (рис. 10.2). Другие компьютеры, подключенные к VPN-клиенту, не могут получить доступ к ресурсам локальной сети.

Соединение маршрутизаторов устанавливается между двумя локальными сетями, если узлы обоих сетей нуждаются в доступе к ресурсам друг друга (рис. 10.3). При этом один из маршрутизаторов играет роль VPN-сервера, а другой – VPN-клиента.

VPN-соединение возможно не только через Интернет, но и в рамках локальной сети. Например, если нужно организовать безопасный канал связи между двумя отделами или пользователями, недоступный другим подразделениям организации, можно применить один из типов VPN-соединений.


56. Протоколы виртуальных сетей.

Последнее изменение этой страницы: 2016-08-29

lectmania.ru. Все права принадлежат авторам данных материалов. В случае нарушения авторского права напишите нам сюда...