Файл: Идентификация и аутентификация с помощью внешних носителей ключевой информации.pdf

С помощью установленного алгоритма инкапсуляции пакетов зашифрованный IP-пакет помещается в готовый для передачи IP-пакет, заголовок которого вместо исходной информации об адресате и отправителе содержит соответственно информацию о VPN-агенте адресата и VPN-агенте отправителя. Т.е. выполняется трансляция сетевых адресов.

Пакет отправляется VPN-агенту адресата. При необходимости, производится его разбиение и поочередная отправка результирующих пакетов.

При приеме IP-пакета VPN-агент производит следующее:

Из заголовка IP-пакета выделяется информация о его отправителе. В том случае, если отправитель не входит в число разрешенных (согласно политике безопасности) или неизвестен (например, при приеме пакета с намеренно или случайно поврежденным заголовком), пакет не обрабатывается и отбрасывается.

Согласно политике безопасности выбираются алгоритмы защиты данного пакета и ключи, с помощью которых будет выполнено расшифрование пакета и проверка его целостности.

Выделяется информационная (инкапсулированная) часть пакета и производится ее расшифрование.

Производится контроль целостности пакета на основе выбранного алгоритма. В случае обнаружения нарушения целостности пакет отбрасывается.

Пакет отправляется адресату (по внутренней сети) согласно информации, находящейся в его оригинальном заголовке.

VPN-агент может находиться непосредственно на защищаемом компьютере. В этом случае с его помощью защищается информационный обмен только того компьютера, на котором он установлен, однако описанные выше принципы его действия остаются неизменными.

Основное правило построения VPN – связь между защищенной ЛВС и открытой сетью должна осуществляться только через VPN-агенты. Категорически не должно быть каких-либо способов связи, минующих защитный барьер в виде VPN-агента. Т.е. должен быть определен защищаемый периметр, связь с которым может осуществляться только через соответствующее средство защиты.

Политика безопасности является набором правил, согласно которым устанавливаются защищенные каналы связи между абонентами VPN. Такие каналы обычно называют туннелями, аналогия с которыми просматривается в следующем:

Вся передаваемая в рамках одного туннеля информация защищена как от несанкционированного просмотра, так и от модификации.

Инкапсуляция IP-пакетов позволяет добиться сокрытия топологии внутренней ЛВС: из Интернет обмен информации между двумя защищенными ЛВС виден как обмен информацией только междуих VPN-агентами, поскольку все внутренние IP-адреса в передаваемых через Интернет IP-пакетах в этом случае не фигурируют.

Правила создания туннелей формируются в зависимости от различных характеристик IP-пакетов, например, основной при построении большинства VPN протокол IPSec (SecurityArchitecturefor IP) устанавливает следующий набор входных данных, по которым выбираются параметры туннелирования и принимается решение при фильтрации конкретного IP-пакета:

IP-адрес источника. Это может быть не только одиночный IP-адрес, но и адрес подсети или диапазон адресов.

IP-адрес назначения. Также может быть диапазон адресов, указываемый явно, с помощью маски подсети или шаблона.

Идентификатор пользователя (отправителя или получателя).

Протокол транспортного уровня (TCP/UDP).

Номер порта, с которого или на который отправлен пакет.

Межсетевое экранирование

Межсетевой экран представляет собой программное или программно-аппаратное средство, обеспечивающее защиту локальных сетей и отдельных компьютеров от несанкционированного доступа со стороны внешних сетей путем фильтрации двустороннего потока сообщений при обмене информацией. Фактически, межсетевой экран является «урезанным» VPN-агентом, не выполняющим шифрование пакетов и контроль их целостности, но в ряде случаев имеющим ряд дополнительных функций, наиболее часто из которых встречаются следующие:

антивирусное сканирование;
контроль корректности пакетов;
контроль корректности соединений (например, установления, использования и разрыва TCP-сессий);
контент-контроль.

Межсетевые экраны, не обладающие описанными выше функциями и выполняющими только фильтрацию пакетов, называют пакетными фильтрами.

По аналогии с VPN-агентами существуют и персональные межсетевые экраны, защищающие только компьютер, на котором они установлены.

Межсетевые экраны также располагаются на периметре защищаемых сетей и фильтруют сетевой трафик согласно настроенной политике безопасности.

Взаимная проверка подлинности пользователей

Обычно стороны, вступающие в информационный обмен, нуждаются во взаимной аутентификации. Этот процесс выполняется в начале сеанса связи.

Для проверки подлинности применяют следующие способы:

механизм запроса-ответа;
механизм отметки времени ("временной штемпель").

Механизм запроса-ответа. Если пользователь A хочет быть уверен, что сообщения, получаемые им от пользователя B, не являются ложными, он включает в посылаемое для B сообщение непредсказуемый элемент - запрос X (например, некоторое случайное число). При ответе пользователь B должен выполнить над этим числом некоторую заранее оговоренную операцию (например, вычислить некоторую функцию f(X)). Это невозможно осуществить заранее, так как пользователю B неизвестно, какое случайное число X придет в запросе. Получив ответ с результатом действий B, пользователь A может быть уверен, что B - подлинный. Недостаток этого метода - возможность установления закономерности между запросом и ответом.

Механизм отметки времени подразумевает регистрацию времени для каждого сообщения. В этом случае каждый пользователь сети может определить насколько "устарело" пришедшее сообщение и не принимать его, поскольку оно может быть ложным.

В обоих случаях для защиты механизма контроля следует применять шифрование, чтобы быть уверенным, что ответ послан не злоумышленником.

При использовании отметок времени возникает проблема допустимого временного интервала задержки для подтверждения подлинности сеанса. Ведь сообщение с "временным штемпелем" в принципе не может быть передано мгновенно. Кроме того, компьютерные часы получателя и отправителя не могут быть абсолютно синхронизированы.

Для взаимной проверки подлинности обычно используют процедуру "рукопожатия", которая базируется на указанных выше механизмах и заключается во взаимной проверке ключей, используемых сторонами. Иначе говоря, стороны признают друг друга законными партнерами, если докажут друг другу, что обладают правильными ключами. Процедуру "рукопожатия" применяют в компьютерных сетях при организации связи между пользователями, пользователем и хост-компьютером, между хост-компьютерами и т.д.

Программы от несанкционированного доступа

Здесь мы кратно рассмотрим 3 программы, с помощью которых возможно защитить свои данные он несанкционированного доступа.

CryptoExpert

CryptoExpert 2008 Professional от компании SecureAction— это программа для шифрования данных в режиме реального времени на компьютере. Она совместима с операционными системами семестваWindows, включая WindowsVista 32-bit и 64-bit.

Программа CryptoExpert 2008 Professional позволяет создавать виртуальные логические диски (контейнеры), в которых информация сохраняется в зашифрованном виде. CryptoExpertсуществуютвдвухвариантах: CryptoExpert 2007 Lite иCryptoExpert 2008 Professional. Программа CryptoExpert 2007 Lite является бесплатной и отличается от CryptoExpert 2008 Professional урезанной функциональностью. В частности, в CryptoExpert 2007 Lite размер виртуального контейнера составляет 50 Мбайт, тогда как в программе CryptoExpert 2008 Professional он ограничен лишь свободным пространством на жестком диске. Еще одно различие между версиями заключается в том, что в программе CryptoExpert 2007 Lite используется только один алгоритм шифрования — CAST 128 bit, а в программе CryptoExpert 2008 Professional поддерживаются четыре типа шифрования: AES (256 bit), CAST (128 bit), Blowfish (448 bit) и 3DES (168 bit). Есть и другие различия, однако, чтобы понять, о чем идет речь, необходимо научиться работать с программой.

К сожалению, описание к программе на русском языке отсутствует, да и интерфейс только английский, к тому же его нельзя назвать простым и интуитивно понятным — прежде чем воспользоваться этой программой, придется изучить инструкцию.

Если кратко, то основные принципы работы с программой следующие. Сначала создаются виртуальные контейнеры, для каждого из которых устанавливается размер, выбирается алгоритм шифрования и задается пароль (рис. 8). Контейнер может находиться в двух состояниях: подключенном и отключенном. С подключенным контейнером можно работать как с обычным логическим диском. Естественно, что для подключения контейнера необходимо знать пароль. В программе CryptoExpert 2008 Professional одновременно можно подключать неограниченное число контейнеров, а в программе CryptoExpert 2007 Lite поддерживается только один подключенный контейнер. Кроме того, версия CryptoExpert 2008 Professional поддерживает работу с USB-носителями, а также возможность создавать и подключать контейнеры, созданные на общих ресурсах локальной сети

Программа также позволяет удалять файлы без возможности их восстановления. Причем поддерживается невосстанавливаемое удаление файлов как из логических контейнеров, так и из обычных папок.

Из недостатков программы CryptoExpert 2008 отметим нестабильность ее в работе. Мы тестировали программу с операционной системой WindowsVista 32-bit, и она частенько зависала.

Графическое оформление программы представлено в приложении

FineCrypt

Утилита FineCrypt предназначена для шифрования данных с целью их дальнейшего безопасного хранения на компьютере или передачи через Интернет. Она поддерживает только английский язык и совместима со всеми операционными системами семейства Windows. С сайта компании можно скачать бесплатную демо-версию программы, которая отличается от полной версии урезанной функциональностью. К сожалению, толковое описание к программе типа «Howto…» отсутствует поэтому осваивать утилиту придется методом проб и ошибок. Но ничего сложного в этом нет. После инсталляции на ПК программа интегрируется в оболочку Windows и в контекстном меню появляется соответствующий пункт После этого достаточно выделить мышкой любой файл, щелкнуть по нему правой кнопкой мыши и, выбрав соответствующий пункт меню, зашифровать или расшифровать файл.

Программа FineCrypt поддерживает шифрование как отдельных файлов, так и целых папок. При этом поддерживается как симметричное шифрование с использованием пароля, так и шифрование с помощью секретных ключей. Кроме того, поддерживается асимметричное шифрование на основе публичного и секретного ключей.

Дляшифрованияможноприменятьследующиеалгоритмы: AES (256 bit), Blowfish (576 bit), CAST (256 bit), GOST (256 bit), Square (128 bit), Mars (448 bit), RC-6 (2040 bit), Serpent (256 bit), TripleDES (192 bit) иTwofish (256 bit)

В случае симметричного шифрования при наборе пароля, который программно преобразуется в ключ шифрования нужной длины, специальный индикатор напомнит о стойкости вводимого пароля (чем длиннее пароль, тем лучше)

Если требуется обеспечить наивысший уровень безопасности данных, то вместо пароля рекомендуется применять секретный ключ. Программа FineCrypt позволяет генерировать и сохранять секретные ключи шифрования. Кроме того, при генерации секретного ключа пользователь может полностью управлять вектором инициализации ключа. Напомним, что вектор инициализации не является секретной информацией и используется для реализации блочного алгоритма шифрования. В программе FineCrypt вектор инициализации ключа шифрования сохраняется вместе с ключом, а не в зашифрованном файле.

Кроме генерирования ключа и вектора инициализации ключа программа FineCrypt позволяет создавать ключ и вектор инициализации вручную.

Программа FineCrypt также поддерживает использование асимметричного RSA-шифрования на основе публичного и секретного ключей. Напомним, что асимметричное шифрование применяется при необходимости передачи информации в зашифрованном виде другим пользователям. При этом информация шифруется с помощью публичного ключа, а расшифровать ее можно, только имея секретный ключ. Программа FineCrypt позволяет генерировать пары ключей, публичный и секретный , а также отсылать другим пользователям публичные ключи. Для простоты управления секретным и публичным ключами при их генерации осуществляется привязка к имени пользователя и его почтовому адресу. Кроме того, секретный ключ защищается паролем. Сгенерированный публичный ключ можно отправить по почте другому пользователю.

Как и большинство программ, предназначенных для обеспечения конфиденциальности данных, утилита FineCrypt позволяет не просто удалять файлы, а удалять их без возможности дальнейшего восстановления в соответствии со стандартом DoD 5200.28-STD (стандарт Министерства обороны США).

Ну и последнее, о чем хотелось бы упомянуть, — это возможность создания самораспаковывающихся зашифрованных архивов. В этом случае расшифровать данные можно даже на компьютере, где программа FineCrypt не установлена.