Защита сетевого трафика в линиях связи НКУ Малков В.А. ФГУП «НПО им. Лавочкина»
Безопасная информационная система Сеть НКУ, линии связи Потоки информации Пользователи и узлы сети Конфеденциальность Аутентичность Целостность Доступность Составляющие Объект защиты Предмет защиты
Направления защиты УГРОЗЫ Внешние Внутренние (инсайдеры) Умышленные Неумышленные Перехват и несанкционированный мониторинг сетевого трафика (компрометация данных) Модификация и подмена пакетов информации Подмена отправителя (адресата) данных, спуффинг Вмешательство в работу сетевого оборудования Социальная инженерия (утечка данных)
Классификация средств защиты Средства защиты информации Организационные Административные меры -правила и режим работы -разделение пользователей -организация охраны помещений Психологические меры -внимательность и осторожность Физические -изоляция сегментов сети -изоляция сетевого оборудования и кабельных магистралей -экранирование помещений -установка замков Технические Аппаратные маршрутизаторы, аппаратные файрволы, коммутаторы, криптографическая аппаратура Программные межсетевые экраны, антивирусные продукты, системы обнаружения и предотвращения вторжений, системы аунтефикации, прокси-сервера, VPN
Инкапсуляция и туннелирование Инкапсуляция метод построения модульных сетевых протоколов, при котором логически независимые функции сети абстрагируются от нижележащих механизмов путём включения или инкапсулирования этих механизмов в более высокоуровневые объекты. Туннелирование метод построения сетей, при котором один сетевой протокол инкапсулируется в другой. От обычных многоуровневых сетевых моделей (OSI или TCP/IP) туннелирование отличается тем, что инкапсулируемый протокол относится к тому же или более низкому уровню, чем используемый в качестве тоннеля.
Виртуальная частная сеть Виртуальная частная сеть (VPN) – технология объединения локальных сетей или отдельных машин, подключенных к сети общего пользования, в единую виртуальную сеть, обеспечивающую секретность и целостность передаваемой по ней информации (прозрачно для пользователей).
Виртуальная частная сеть Достоинства VPN: низкая стоимость арендуемых каналов и коммуникационного оборудования развитая топология сети (широкий географический охват) высокая надежность легкость масштабирования (подключения новых сетей или пользователей) легкость изменения конфигурации контроль событий и действий пользователей Технологии защиты: шифрование аутентификация контроль доступа
Классификация VPN
Реализации VPN Протоколы и программные решения, реализующие возможности VPN: Спецификация IPsec (IP security) Набор протоколов на базе PPP – PPTP (point-to-point tunneling protocol) – L2TP (Layer 2 Tunnelling Protocol) – PPPoE (PPP over Ethernet) Набор решений на основе SSL – OpenVPN – SSL VPN via web – SSTP SSH-туннелирование
Механизм работы IPsec IPSec (сокращение от IP Security) набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов, а также включает в себя механизмы для защищённого обмена ключами в сети Интернет. Механизмы IPsec: ESP (протокол инкапсуляции зашифрованных данных) AH (аутентифицирующий заголовок) IKE (протокол обмена криптографическими ключами) Режимы работы: транспортный (шифруется только информативная часть IP-пакета) туннельный (шифруется весь пакет целиком)
Механизм работы IPsec Протокол управления ключами и группами параметров сетевой безопасности ISAKMP создает рамочную структуру для управления ключами в сети Интернет и предоставляет конкретную протокольную поддержку для согласования атрибутов безопасности. Перед началом безопасного обмена данными между двумя компьютерами должно быть установлено соглашение. Согласно этому соглашению, названному сопоставлением контекста безопасности (SA, security association), компьютеры договариваются о способе обмена и защите данных. Ключ - это секретный код или число, необходимое для чтения, изменения или проверки защищенных данных. Ключи в сочетании с алгоритмами (математическими процессами) используются для защиты данных. В IPsec выделены две фазы, или режима, использования ключей. Сначала выполняется основной режим, создающий общий главный ключ, используемый двумя сторонами для обмена ключевой информацией безопасным способом. Быстрый режим использует главный ключ для безопасной установки одного или нескольких ключей сеанса, применяемых для проверки целостности данных и шифрования. AH используется для аутентификации отправителя информации и обеспечения целостности данных - с целью убедиться, что данные не были изменены в процессе связи. AH не шифрует данные и не обеспечивает конфиденциальности, этот протокол лишь "подписывает" целый пакет данных. ESP способен обеспечить конфиденциальность информации, так как непосредственно шифрует данные совместно с проверкой подлинности и целостности. Оба протокола добавляют собственные заголовки и имеют свой ID (AH имеет ID протокола 51, ESP 50), по которому можно определить, что последует за заголовком IP.
Механизм работы PPTP PPTP (Point-to-Point Tunneling Protocol) туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. Инкапсулирует PPP-кадры в IP-датаграммы. Полезные данные инкапсулированных PPP-кадров могут быть шифрованными, сжатыми или и теми, и другими одновременно. Особенности протокола: может применяться только в IP-сетях требует одновременного установления двух сетевых сессий (PPP сессия с помощью протокола GRE для передачи данных и соединение на ТСР порту 1723 для инициализации и управления соединением) имеет широкую поддержку шифрование трафика на основе алгоритма MPPE (поддерживается не всеми устройствами)
Механизм работы L2TP L2TP (Layer 2 Tunneling Protocol) – протокол туннелирования второго уровня, созданный на базе PPTP и L2F (протокол эстафетной передачи второго уровня от Cisco). Особенности протокола: может применяться не только в IP-сетях служебные сообщения для создания туннеля и пересылки по нему данных используют одинаковый формат и протоколы не требует установления дополнительной сессии содержит контроль последовательности пакетов шифрование трафика на основе алгоритмов IPsec (в транспортном режиме)
Шифрование в протоколе L2TP L2TP поверх IPSec выполняет шифрование данных и аутентификацию на уровнях компьютера и пользователя. Сообщение L2TP шифруется по стандарту шифрования данных DES или по тройному стандарту DES (3DES), используя ключи шифрования, полученные в процессе согласования по протоколу IKE. L2TP поверх IPSec обеспечивает более высокую степень защиты данных, чем PPTP.
Протокол SSTP SSTP (Secure Socket Tunneling Protocol) – протокол безопасного туннелирования сокетов, основан на SSL и позволяет создавать защищенные VPN соединения посредством HTTPS. Является протоколом прикладного уровня, осуществляет двухстороннюю аутентификацию, как сервера, так и клиента. SSTP предназначен для использования при соединении client to site VPN connections. Предоставляет клиентам безопасный доступ к сетям за маршрутизаторами NAT router, брандмауэрами (firewall) и веб прокси (web proxies), не заботясь об обычных проблемах с блокировкой портов. SSTP Client встроен в операционную систему Windows Vista. Являет собой полноценное сетевое решение VPN, а не просто прикладной туннель для одного приложения.
Механизм работы SSTP Как работает соединение SSTP: 1.Клиенту SSTP необходимо подключение к интернет. После того, как это Интернет соединение проверено протоколом, устанавливается TCP соединение с сервером по порту Далее происходит SSL согласование для уже установленного соединения TCP, в соответствии с чем проверяется сертификат сервера. Если сертификат правильный, то соединение устанавливается, в противном случае соединение обрывается. 3.Клиент посылает HTTPS запрос в рамках зашифрованной SSL сессии на сервер. 4.Клиент посылает контрольные пакеты SSTP control packet внутри сессии HTTPS session. Это в свою очередь приводит к установлению состояния SSTP на обеих машинах для контрольных целей, обе стороны инициируют взаимодействие на уровне PPP. 5.Далее происходит PPP согласование SSTP по HTTPS но обоих концах. Теперь клиент должен пройти аутентификацию на сервере. 6.Сессия привязывается к IP интерфейсу на обеих сторонах и IP адрес назначается для маршрутизации трафика. 7.Устанавливается взаимодействие, будь это IP трафик, или какой-либо другой.
SSH-туннелирование SSH (OpenSSH) протокол и реализующие его программные средства, предназначенные для повышения безопасности при работе Unix-систем в Интернете. SSH сетевой протокол сеансового уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы доступны для большинства сетевых операционных систем. SSH-туннель это туннель, создаваемый посредством SSH-соединения и используемый для шифрования туннелированных данных. Особенность состоит в том, что незашифрованный трафик какого-либо протокола шифруется на одном конце SSH-соединения и расшифровывается на другом. Плюс протокола SSH в том, что для реализации не нужно устанавливать и настраивать дополнительный софт. Из минусов, низкая производительность на медленных линиях. Шифрованный туннель создается на основе одного TCP соединения, что весьма удобно, для быстрого поднятия простого VPN, на IP.
Создание SSH-туннеля OpenSSH поддерживает устройства tun/tap, позволяющие создавать шифрованный туннель, что может быть весьма полезно в случае удаленного администрирования (по аналогии с OpenVPN на базе TLS). Процедура настройки: 1. Подключение через SSH с опцией -w. 2. Настройка IP адреса SSH туннеля, делается единожды, на сервере и на клиенте. 3. Добавление маршрутов для обоих сетей. 4. Включение NAT на внутреннем интерфейсе шлюза (по необходимости). В итоге имеет две частные сети, прозрачно соединенные в VPN через SSH. Перенаправление IP и настройки NAT необходимы только если шлюзы не являются шлюзами по умолчанию (в этом случае клиент не будет знать, куда пересылать ответы).
Защита внутреннего сегмента НКУ Возможные угрозы: Сканирование Пассивный перехват Активные атаки –IP-spoofing –MAC-spoofing –ARP-spoofing Методы и механизмы защиты: Применение пакета мониторинга arpwatch Использование статических arp-таблиц на маршрутизаторах Организация Vlan Packet-filtering Port security Корректная настройка межсетевых фильтров Использование современных коммутаторов Отключение неактивных портов Своевременное обновление ПО на важных узлах сети
Политика информационной безопасности При формировании политики ИБ следует учитывать несколько важных принципов: принцип минимального уровня привилегий использование комплексного подхода баланс надежности защиты всех уровней максимальная защита при отказе принцип единого контрольно-пропускного пункта принцип баланса возможного ущерба от реализации угрозы и затрат на ее предотвращение Политика информационной безопасности совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Пример построения сети НКУ
Возможные проблемы Отсутствие единого стандарта безопасности Законодательные ограничения в области оборота средств криптостойкого шифрования Использование каналов малой пропускной способности Программные и аппаратные ограничения, в том числе наложенные административно Перекрытие адресных пространств Проблемы на пути внедрения безопасных решений: Возможные пути решения: Согласование механизмов защиты и логики построения сетей НКУ в рамках единого ведомственного стандарта Использование программных решений на базе систем Unix, применение сертифицированных аппаратных шифраторов Применение универсальных механизмов защиты Усиление кооперации в части межсетевого взаимодействия Применение NAT, ProxyArp, cогласование адресных пространств на этапе проектирования сетей