33644

Защита на канальном уровне

Доклад

Информатика, кибернетика и программирование

Технология создания защищенного виртуального канала по протоколу PPTP предусматривает как аутентификацию удаленного пользователя так и зашифрованную передачу данных. Программное обеспечение удаленного доступа реализующее PPTP может использовать любой стандарт криптографического закрытия передаваемых данных. Например сервер удаленного доступа Windows использует стандарт RC4 и в зависимости от версии 40 или 128разрядные сеансовые ключи которые генерируются на основе пароля пользователя. В протоколе PPTP определено три схемы его...

Русский

2013-09-06

549.5 KB

31 чел.

9. Защита на канальном уровне

Главное преимущество – прозрачность для протоколов сетевого, транспортного и прикладного уровней. Для защиты данных на канальном уровне используются три протокола:

РРТР (Point-to-Point-Tunneling Protocol);

L2F (Layer 2 Forwarding);

L2TP (Layer 2 Tunneling Protocol).

Протоколы L2F и L2TP являются протоколами туннелирования, а протокол РРТР обеспечивает как туннелирование, так и шифрования данных.

2.3.1. Протокол РРТР

Протокол РРТР (Point-to-Point-Tunneling Protocol) позволяет создавать криптозащищенные каналы для обмена данными по протоколам IP, IPX и NetBEUI. Технология создания защищенного виртуального канала по протоколу PPTP предусматривает как аутентификацию удаленного пользователя, так и зашифрованную передачу данных.

Для аутентификации могут использоваться различные протоколы. В реализации PPTP, включенной в Windows, поддерживаются протоколы аутентификации PAP (Password Authentication Protocol — протокол распознавания пароля) и CHAP (Challenge-Handshaking Authentication Protocol— протокол распознавания при рукопожатии). При использовании протокола PAP идентификаторы и пароли передаются по линии связи в незашифрованном виде. При использовании же протокола CHAP каждый пароль для передачи по линии связи шифруется на основе случайного числа, полученного от сервера. Такая технология обеспечивает также защиту от повторного использования злоумышленником перехваченных пакетов с зашифрованным паролем.

Программное обеспечение удаленного доступа, реализующее PPTP, может использовать любой стандарт криптографического закрытия передаваемых данных. Например, сервер удаленного доступа Windows использует стандарт RC4 и в зависимости от версии 40- или 128-разрядные сеансовые ключи, которые генерируются на основе пароля пользователя.

В протоколе PPTP определено три схемы его применения: одна схема для случая прямого соединения компьютера удаленного пользователя с Internet и две — для случая подсоединения удаленного компьютера к Internet по телефонной линии через провайдера.

При прямом соединении компьютера удаленного пользователя с сетью Internet, например, при доступе из локальной сети, напрямую подключенной к Internet, пользователь устанавливает удаленное соединение с помощью клиентской части сервиса удаленного доступа. Он обращается к серверу удаленного доступа локальной сети, указывая его IP-адрес, и устанавливает с ним связь по протоколу PPTP. Функции сервера удаленного доступа может выполнять и пограничный маршрутизатор локальной сети. Протокол PPTP определяет некоторое количество служебных сообщений, которыми обмениваются взаимодействующие стороны. Служебные сообщения передаются по протоколу TCP. После успешной аутентификации начинается процесс защищенного информационного обмена.

В этом варианте на компьютере удаленного пользователя должны быть установлены клиент RAS и драйвер PPTP, которые входят в состав Windows, а на сервере удаленного доступа локальной сети — сервер RAS и драйвер PPTP, входящие в состав Windows. Внутренние серверы локальной сети не должны поддерживать протокол PPTP, так как пограничный маршрутизатор извлекает кадры PPP из пакетов IP и посылает их по сети в необходимом формате IP, IPX или NetBIOS.

Для случая подсоединения удаленного компьютера к Internet по телефонной линии через провайдера предусмотрена две схемы.

Вариант 1:

  •  протокол РРТР поддерживается сервером удаленного доступа (RASRemote Access Service) провайдера Internet;
  •  протокол РРТР поддерживается маршрутизатором сети организации;
  •  защищённый канал образуется между RAS провайдера и маршрутизатором сети организации.

Схема для варианта 1 приведена на рис. 2.3.

Применение PPTP, вариант 1

Рис.2.3

Процесс установления соединения:

  •  клиент связывается с сервером удаленного доступа провайдера по протоколу РРР.
  •  клиент проходит аутентификацию у провайдера.
  •  по имени пользователя провайдер устанавливает связь с маршрутизатором сети организации по протоколу РРТР.
  •  маршрутизатор аутентифицирует пользователя по протоколам РАР или CHAP.
  •  если аутентификация прошла успешно, связь считается установленной.

Процесс обмена данными:

  •  клиент отправляет данные серверу удаленного доступа провайдера по протоколам IP, IPX или NetBEUI (упакованные в РРР).
  •  сервер удаленного доступа провайдера упаковывает пакеты РРР в пакеты IP, указывая в качестве адреса получателя адрес маршрутизатора, а в качестве адреса отправителя - свой.
  •  пакеты РРР шифруются с помощью симметричного ключа в качестве которого используется хэш-функция пароля пользователя. В качестве алгоритма шифрования используется RC-4 или DES.

Схема не нашла широкого применения так как протокол РРТР не всегда поддерживается маршрутизаторами и серверами удаленного доступа провайдера

Вариант 2:

  •  сервер удаленного доступа не поддерживает РРТР;
  •  защищенный канал образуется между компьютером удаленного клиента и маршрутизатором сети организации.

Схема для варианта 2 приведена на рис. 2.4.

Применение РРТР, вариант 2

Рис. 2.4

Процесс установления соединения:

  •  клиент устанавливает связь с сервером удаленного доступа провайдера по протоколу РРТР.
  •  клиент проходит аутентификацию по протоколам РАР или CHAP.
  •  клиент устанавливает связь с маршрутизатором сети организации, где работает протокол РРTР (звонок отличается от обычного тем, что вместо телефонного номера указывается IP- адрес сервера удаленного доступа организации.
  •  клиент проходит аутентификацию на сервере удаленного доступа сети организации.

Обмен данными осуществляется также как в первом варианте.

2.3.2. Протоколы L2F и L2TP

Протоколы L2F и L2TP выполняют только туннелирование. Протокол L2F фактически поглощён протоколом L2TP. Однако протокол L2TP имеет пока только статус проекта стандарта Internet.

В L2TP добавлена важная функция управления потоками данных, которая не допускает в систему больше информации, чем та способна обработать. Кроме того, в отличие от своих предшественников, L2TP позволяет открывать между конечными абонентами сразу несколько туннелей, каждый из которых администратор может выделить для того или иного приложения. Эти особенности обеспечивают безопасность и гибкость туннелирования, а также существенно повышают качество обслуживания виртуальных каналов связи.

По существу протокол L2TP представляет собой расширение РРР-протокола функциями аутентификации удаленных пользователей, установки защищенного виртуального соединения, а также управлением потоками данных. В соответствии с протоколом L2TP (рис. 2.5) в качестве сервера удаленного доступа провайдера должен выступать концентратор доступа (Access Concentrator), который реализует клиентскую часть протокола L2TP и обеспечивает пользователю сетевой доступ к его локальной сети через Internet. Роль сервера удаленного доступа локальной сети должен выполнять сетевой сервер L2TP (L2TP Network Server), функционирующий на любых платформах, совместимых с протоколом РРР.

Схема взаимодействия по протоколу L2TP

Рис 2.5.

Протокол L2TP предполагает использование схемы, в которой туннель образуется между сервером удалённого доступа провайдера и маршрутизатором корпоративной сети. Сервер удалённого доступа провайдера называется концентратором доступа (L2TP Ассеss Concentrator, LAC). Маршрутизатор корпоративной сети называется сетевым сервером (L2TP Network Server, LNS).

Схема работы:

  •  пользователь устанавливает РРР- соединение с провайдером.
  •  провайдер выполняет частичную аутентификацию узла и пользователя (используется только имя пользователя) с целью определить, нужен ли сервис L2TP.
  •  провайдер определяет адрес LNS, с которым нужно установить связь.
  •  устанавливается туннель L2TP между LAC и LNS.
  •  новому соединению в рамках установленного туннеля присваивается идентификатор вызова (Call ID).
  •  LAC посылает LNS уведомление о вызове (оно содержит Call ID и информацию для аутентификации, зависящую от используемого протокола -РАР или CHAP).
  •  корпоративный сервер LNS отправляет на LAC результат аутентификации и некоторую дополнительную информацию, например, выделяет для удалённого клиента IP-адрес.

Результатом является создание «виртуального интерфейса». По туннелю между LAC и LNS инкапсулированные кадры РРР могут передаваться в обоих направлениях. При поступлении РРР-пакета от удаленного пользователя LAC удаляет из него байты обрамления кадра и контрольную сумму, затем инкапсулирует его с помощью L2TP и отправляет серверу LNS, который извлекает из пакета кадр РРР и обрабатывает его стандартным образом.

Обеспечить безопасность на этом этапе позволяет программный продукт Internet Scanner.


 

А также другие работы, которые могут Вас заинтересовать

21509. МИОРЕЛАКСАНТЫ, ИХ ПРИМЕНЕНИЕ В АНЕСТЕЗИОЛОГИИ И РЕАНИМАТОЛОГИИ 186 KB
  Классификация миорелаксантов по химической структуре Дериваты изохинолина Дериваты стероидов Другие препараты Атракурий Доксакурий Метокурий Мивакурий Тубокурарин Панкуроний Пипекуроний Рокуроний Векуроний Галламин Сукцинилхолин По механизму действия миорелаксанты подразделяют на 2 класса: деполяризующие и недеполяризующие. Таблица 2 Классификация миорелаксантов по механизму и длительности действия Деполяризующие Недеполяризующие Короткого действия сукцинилхолин дитилин декаметоний мивакурий мивакрон Средней продолжительности атракурий...
21510. НОВЫЕ ФАРМАКОЛОГИЧЕСКИЕ СРЕДСТВА И МЕТОДЫ ПРИ ОКАЗАНИИ АНЕСТЕЗИОЛОГИЧЕСКОЙ ПОМОЩИ 117 KB
  ФАРМАКОЛОГИЧЕСКИЕ АСПЕКТЫ КЛИНИЧЕСКОГО ПРИМЕНЕНИЯ КЛОФЕЛИНА В АНЕСТЕЗИОЛОГИИ Клофелин клонидин синтезирован в 1962 г. Фармакологические эффекты клофелина: как агонист постсинаптических Ф2АР в ЦНС вызывает гипотензию брадикардию аналгезию седативный эффект способствует высвобождению гормонов роста. Периферическое действие клофелина проявляется в усилнии сокращений гладких мышц агрегации тромбоцитов липолизу угнетению секреции ринина и инсулина. При приеме внутрь абсорбция клофелина составляет практически 100.
21511. ОСНОВЫ ОРГАНИЗАЦИИ САНИТАРНО - ГИГИЕНИЧЕСКИХ И ПРОТИВОЭПИДЕМИЧЕСКИХ МЕРОПРИЯТИЙ 134 KB
  €œОСНОВЫ ОРГАНИЗАЦИИ САНИТАРНО ГИГИЕНИЧЕСКИХ И ПРОТИВОЭПИДЕМИЧЕСКИХ МЕРОПРИЯТИЙ€ САНИТАРНОГИГИЕНИЧЕСКИЕ МЕРОПРИЯТИЯ. Санитарногигиенические мероприятия проводятся с целью сохранения боеспособности и укрепления здоровья личного состава путем строгого выполнения установленных гигиенических норм и правил при организации размещения питания водоснабжения баннопрачечного обслуживания обеспечении безопасных условий труда военнослужащих и захоронении погибших в бою умерших а также путем соблюдения правил личной и...
21512. Мероприятия медицинской службы по защите личного состава войск, частей и подразделений медицинской службы от оружия массового поражения 202.5 KB
  €œМероприятия медицинской службы по защите личного состава войск частей и подразделений медицинской службы от оружия массового поражения€ 1.МЕРОПРИЯТИЯ МЕДИЦИНСКОЙ СЛУЖБЫ ПО ЗАЩИТЕ ЛИЧНОГО СОСТАВА ВОЙСК ОТ ОРУЖИЯ МАССОВОГО ПОРАЖЕНИЯ Мероприятия медицинской службы по защите войск от оружия массового поражения являясь с одной стороны частью общего комплекса защиты войск схема 61 а с другой стороны частью медицинского обеспечения войск схема 62 проводится с целью предупреждения или максимального ослабления воздействия...
21513. МЕДИЦИНСКАЯ РАЗВЕДКА 79 KB
  ПОНЯТИЕ О МЕДИЦИНСКОЙ РАЗВЕДКЕ ЕЁ ВИДЫ И ЗАДАЧИ. Медицинская разведка представляет собой совокупность мероприятий проводимых медицинской службой по добыванию разведывательных сведений о природных социальноэкономических условиях территории боевых действий передвижения размещения войск и о противнике необходимых для успешного медицинского обеспечения. При ведении медицинской разведки сбор данных о природных и социальноэкономических условиях территории противнике и его медицинской службе осуществляется различными путями и способами....
21514. Основы организации обеспечения медицинским имуществом частей и соединений 100.5 KB
  Основные задачи медицинского снабжения войск: 1. Накопление запасов медицинского имущества и содержание их в постоянной готовности к выдаче и использованию по предназначению. Создание и поддержание условий обеспечивающих быстрый перевод сил и средств медицинского снабжения с мирного положения на военное. Формы и методы организации снабжения медицинским имуществом находятся в прямой зависимости от принятых в настоящее время общих принципов тылового и медицинского обеспечения ВС а также от экономических возможностей страны уровня развития...
21515. ОСНОВЫ УПРАВЛЕНИЯ МЕДИЦИНСКОЙ СЛУЖБОЙ 78.5 KB
  €œОСНОВЫ УПРАВЛЕНИЯ МЕДИЦИНСКОЙ СЛУЖБОЙ€ 1. ОПРЕДЕЛЕНИЕ ПОНЯТИЯ ПРИНЦИПЫ И ТРЕБОВАНИЯ ПРЕДЪЯВЛЯЕМЫЕ К УПРАВЛЕНИЮ МЕДИЦИНСКОЙ СЛУЖБОЙ Управление медицинской службой это особый вид деятельности начальника медицинской службы органов управления заключающейся вопервых в определении целей и способов действий объектов управления вовторых в воздействии на них в интересах достижения намеченных целей. Совершенствование системы управления медицинской службы является одним из условий повышения качества медицинского обеспечения...
21516. Медицинская служба полка 147 KB
  Задачи медицинской службы полка. В условиях современных боевых действий медицинская служба полка призвана решать ответственные задачи по всестороннему медицинскому обеспечению подразделений входящих в состав полка. На нее возлагается проведение таких лечебноэвакуационных мероприятий как: розыск раненых оказание им первой медицинской помощи сбор и вывоз вынос их с поля боя; эвакуация раненых и больных из подразделений полка очагов массового поражения на медицинский пункт оказание раненым и больным доврачебной и первой...
21517. Отдельный медицинский батальон 109.5 KB
  Состав и задачи медицинской службы дивизии. Медицинская служба дивизии состоит из: управления санитарноэпидемиологической лаборатории СЭЛ отдельного медицинского батальона омедб а также сил и средств медицинской службы частей и подразделений дивизии. Задачи медицинской службы дивизии: 1. Организация и проведение системы мероприятий по оказанию медицинской помощи раненым и больным их лечение.