Управление ключами шифрования и цифровой подписью.
Средства поддержки цифровых сертификатов.
Аутентификация (поддерживается Kerberos при наличии AD).
Целостность поддерживается хэшированием ( MD5, SHA ).
Конфиденциальность поддерживается протоколом ESP (encapsulation security protocol ).
Для защиты трафикаIPsec использует 2 средства:
Заголовки аутентификации.
Инкапсуляцию зашифрованных данных ESP-encapsulation security payload (protocol).
IPsec прозрачен (невидим ) для пользователя и не требует поддержки спецсредствами.
Передача с помощью IP Security включает два этапа:
1. Этап соединения, включающий:
* идентификацию;
* генерацию общих ключей.
Этап передачи защищенных сообщений.
Уровень и тип защиты определяется политикой безопасности, которая конфигурирует атрибуты безопасности и включает две политики:
Политику соединений ( negotiation policy ).
Фильтры IP filters.
Политика соединений
Позволяет выбрать протоколы безопасности:
Конфиденциальный.
Не конфиденциальный.
IP фильтры
Они задают некий шаблон безопасности, с помощью которого осуществляется контроль безопасности различных уровней безопасности.
При регистрации компъютера в сети устанавливается политика безопасности по умолчанию (политика Client Server).
Между узлами пары, связанные при помощи протокола IPsec, должно быть соглашение, называемое ассоциацией обеспечения безопасности SA – security association, включающей механизм передачи ключей, протокол безопасности и алгоритм шифрования.
|
|
Взаимодействие 2-х участников начинается с принятия этого соглашения.
Ассоциация считается установленной, если у пары узлов согласованы адреса, протоколы, параметры безопасности и наборы ключей.
Все они, кроме ключей, могут быть установлены по умолчанию.
Набор ключей – это множество паролей и открытых ключей RSA, который может быть установлен на брандмауэре вручную.
Набор ключей может быть установлен с помощью протокола обмена ключей IKE – internet key exchange.
IKE предусматривает повышенную защиту ключей.
Может быть информация о ключах на базе сертификатов с подписью RSA.
Модель информационного обмена IKE
Ожидание соединения.
Отправка удостоверяющего SA клиенту.
Прием открытого ключа и случайного числа.
Генерация и отправка открытого ключа.
Прием идентификатора, сертификата и цифровой подписи.
Отправка идентификатора, сертификата и цифровой подписи.
Ожидание передачи данных.
В составе службы поддержки IPsec есть служба агентов политики безопасности Policy Agent Service.
Агент может быть локальный и глобальный.
|
|
С помощью агентов безопасности выбирается политика безопасности из Active Directory.
Выбранная политика безопасности передается сетевому драйверу IPsec Driver.
Драйвер безопасности IPsec Driver – это локальный резидентный агент, который просматривает все IP пакеты на соответствие IP фильтра.
Далее пакет передается одному из протоколов безопасности, например, ISAKMP.
ISAKMP ( internet security association and key management protocol ) генерирует ассоциацию безопасности SA и ключ защиты передачи.
Стандартные средства шифрования W2000 включают:
1. Алгоритм открытого ключа Diffe - Hellman (обе стороны договариваются об открытом ключе ).
Хеширования.
Для хеширования IP пакетов используются HMAC ( hash message autentification cod ):
MD5 ( message digest function 5 ).
SHA ( secure hash algorithm ).
С их помощью к каждому пакету прибавляется 128 или 160 битные подписи.
Ключи генерируются с помощью хэш- функций:
HMAC - MD5.
HMAC – SHA.
3. DES – CBC ( cipher block chaining – цепь шифрования блоков ).
Это алгоритм общего секретного ключа.
В качестве протоколов используются:
1.ISAKMP – основной.
ISAKMP ( internet security association and key management protocol ).
2. Oakley – протокол задания ключей с помощью алгоритма Diffe – Hellman.
|
|
3. IP AH - autentification header.
4. IP ESP - encapsulation security payload (protocol ).
Технология защиты SHTTP и SSL / TLS
Протокол SHTTP (SHTTP-secure hyper text transport protocol ) – используется для защищенной связи в WWW при взаимодействии Web – сервера и браузера.
Это протокол прикладного уровня.
SSL / TLS (secure socket layer / transport layer security ) – протокол безопасных сокетов.
SSL – это технология на основе криптозащиты.
Это протокол сеансового уровня.
Передача по протоколу SSL означает, что передаваемые данные зашифрованы.
С помощью SSL создается защищенный канал связи (туннель), внутри которого можно работать с любой службой Интернет:
* WWW;
* любой службой передачи данных;
* Email и др.
Он применяется, прежде всего, для аутентификации сервера и клиента, для создания шифрованного канала для передачи данных и обеспечения целостности передаваемых сообщений.
Протокол SSL был разработан фирмой Netscape communication в 1994 г.
TLS это SSL 3.1 .
SSL состоит из двух компонентов:
Дата добавления: 2018-08-06; просмотров: 306; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!