Технологии защищенного канала. Физический Канальный Сетевой Транспортный Сеансовый Презентационный Прикладной PPTP Протоколы, формирующие защищенный канал.

Презентация:



Advertisements
Похожие презентации
Протокол IPSec (RFC 2401). Назначение IPSec Узел АУзел В IP-пакет Разграничение доступа (фильтрация IP-трафика) Обеспечение целостности передаваемых данных.
Advertisements

Протокол IPSec (RFC 2401). Семейство протоколов IPSec Протокол Authentication Header (AH) Протокол Encapsulated Security Payload (ESP) Протокол Internet.
Тема 44 Сетевая безопасность. Сетевые экраны. Прокси-серверы. Протоколы защищенного канала. IPsec. Сети VPN на основе шифрования Раздел 6 Технологии глобальных.
Основы построения VPN. Виртуальные частные сети - VPN VPN – Virtual Private Network – имитируют возможности частной сети в рамках общедоступной, используя.
«Методы защиты межсетевого обмена данными» Вопросы темы: 1. Удаленный доступ. Виды коммутируемых линий. 2. Основные понятия и виды виртуальных частных.
Тема " Защита IP-уровня. Области применения протокола IPSec. Архитектура защиты на уровне IP. " 1 Выполнил: студент гр. ЭЭТб-1101 Нагорных Дмитрий Александрович.
Безопасность межсетевого взаимодействия и удаленного доступа. Тема: Принципы обеспечения безопасности виртуальных сетей.
Протокол Secure Sockets Layer. Архитектура SSL Прикладной уровень (HТТР, FTP) Транспортный уровень (TCP) Уровень IP Сетевой интерфейс Прикладной уровень.
Виртуальные частные сети. Организация VPN через общую сеть Центральный офис Филиал 2 Филиал 1 Internet Мобильный сотрудник Сеть другого предприятия.
Стандартизация сетевого взаимодействия СТАНДАРТИЗАЦИЯ ПРОЦЕДУР: - выделения и освобождения ресурсов компьютеров, линий связи и коммуникационного оборудования;
Разграничение доступа к информационным сетям с помощью групповых политик и IPSec.
Защита сетевого трафика в линиях связи НКУ Малков В.А. ФГУП «НПО им. Лавочкина»
Шифрование Симметричное шифрование в 1949 г. Клод Шеннон.
Компьютерные системы и сети Олизарович Евгений Владимирович ГрГУ им. Я.Купалы, 2011/2012 Безопасность передачи данных. VPN.
КОМПЬЮТЕРНЫЕ СЕТИ Лекция 18 Защита информации в сетях. Шифрация данных. Защита соединений. Классификация атак Санкт-Петербург, 2012 Александр Масальских.
Компьютерные системы и сети Олизарович Евгений Владимирович ГрГУ им. Я.Купалы. 2012/2013 Безопасность передачи данных.
Слайд 154 Защита на канальном уровне. Слайд 155 Канальный уровень Физический уровень Сетевой уровень Транспортный уровень Уровень соединения Уровень представления.
Виртуальные частные сети. Истинная частная сеть Центральный офис Филиал Собственный закрытый канал связи.
1 Федеральное государственное унитарное предприятие «НАУЧНО-ТЕХНИЧЕСКИЙ ЦЕНТР «АТЛАС»
ЗАО "НТЦ КОНТАКТ"1 Криптографические методы как часть общей системы защиты информации.
Транксрипт:

Технологии защищенного канала

Физический Канальный Сетевой Транспортный Сеансовый Презентационный Прикладной PPTP Протоколы, формирующие защищенный канал на разных уровнях IPSec, SKIP SSL HTTP/S, S/MIME Непрозрачны для приложений, не зависят от транспортной инфраструктуры Прозрачны для приложений, зависят от транспортной инфраструктуры

Internet Protocol Security (IPSec) система протоколов для защиты трафика IP-сетей ядро стандартизовано в конце 1998 года. Стандарт на архитектуру - RFC2401 поддерживается IPv6

Протокол Autentication Header (AH) обеспечивает: целостность аутентификацию передаваемых данных защиту от дубликатов (опционально) ДанныеIP-заголовок Протокол AH ДанныеIP-заголовок Заголовок AH Дайджест Дайджест по всем неизменяемым полям пакета

Encapsulation Security Payload (ESP) обеспечивает: целостность аутентификацию передаваемых данных защиту от дубликатов (опционально) шифрование трафика Целостность - дайджест для поля данных Шифрование - по симметричному принципу ESP-заг.IP заг.

Internet Key Exchange (IKE) - протокол распределения ключей IPSec Безопасная ассоциация (Security Association, SA) Установить SA - (1) аутентифицировать стороны (2) согласовать параметры защиты SA - однонаправленное (симплексное) логическое соединение Между узлами устанавливается произвольное количество SA В рамках одной SA нельзя использовать одновременно AH и ESP

Согласование параметров в протоколе ESP IPSec Безопасная ассоциация (Security Association, SA) Обязательный набор алгоритмов защиты Фирменные алгоритмы Triple DES RC5 Idea Cast MD5 SHA-1 DES MD5 DES SHA-1

Два режима работы протоколов AH и ESP AH или ESP ДанныеIP- заг IP-заг. Заголовок AH или ESP (1) Транспортный режим Данные AH или ESP ДанныеIP- заг ДанныеIP-заг. IP-заг. внешний Исходный пакет Заголовок AH или ESP (2) Туннельный режим Режим работы в одном направлении не зависит от режима работы в другом направлении

IPSec 3 схемы установления SA (1) хост-хост режимы: транспортный туннельный Internet/intranet SA IPSec (2) шлюз-шлюз режим: туннельный (3) хост-шлюз IP1 IP4 IP3 IP2 IP1, IP2 IP3, IP4 IP1, IP2

Протокол IKE (1) Проверка аутентичности сторон аналогично протоколу CHAP обмен сертификатами Вычисление разделяемого секрета: (E B,n) A B (D A,n) (D B,n)(E A,n) KK (2) Согласование параметров защиты способы: ручной автоматический Параметры: протокол опция дубликатов режим используемые алгоритмы секретные ключи

Механизм распознавания пакетов, относящихся к разным безопасным ассоциациям на узле-отправителе - селектор на узле-получателе - SPI (Security Parameters Index) SPD, Security Policy Database СелекторПолитика SAD, SA Database SA3 SPI SAD SA3 SPD СелекторПолитика

Механизм распознавания пакетов, относящихся к разным ассоциациям SA Security Polisy Database (SPD) В каждом узле должно быть 2 SPD - для входящих и исходящих пакетов

База данных параметров безопасных ассоциаций Security Association Database (SAD) Текущие параметры SA КлючНомер пакета... SA4 SA2 SA3 SA1

Данные IP-заголовок исходного пакета Заголовок AH SPI Номер пакета (SN) Дайджест Аутентифицируемая часть пакета Данные IP-заголовок исходного пакета Заголовок AH SPI Номер пакета (SN) Дайджест IP-заг. внешний Аутентифицируемая часть пакета А) транспортный режим Б) туннельный режим

Протокол защиты данных ESP Структура заголовка Заполнитель: (1) требования методов шифрации (2) формат заголовка ESP (3) частичная конфиденциальность трафика

IP-заг.ДанныеЗаполнитель ESP-заг SPISN ESP-заг Дайджест След. заг. Зашифрованная часть Аутентифицируемая часть IP-заг. ESP-заг SPISN IP-заг.ДанныеЗаполнитель ESP-заг Дайджест След. заг. Зашифрованная часть Аутентифицируемая часть А) транспортный режим б) туннельный режим

Защищенный канал PPTP

Схема инкапсуляции протокола PPTP

Реализация Microsoft