Защищенные каналы связи
TRANSCRIPT
1
Лекция №8
Безопасность канала связи
2
План лекции
● Защита канала связи● Проектирование по 15408.2● Технологии VPN для защиты канала связи
Цель лекции — получить представление о защите каналов связи и реализациях этой защиты
3
Определения
● Канал связи– Между частями ОО
● Маршрут связи– Между ОО и пользователем
4
Цели защиты
5
Цели защиты
● Сокрытие переданных данных
6
Цели защиты
● Сокрытие переданных данных● Сокрытие факта передачи● Невозможность модификации● Доверенность абонентов● Неотказуемость абонентов
7
Методы защиты
● Аппаратная– Организация выделенных каналов связи
– Их защита
– Их поддержание
● Программная– Использование общедоступных каналов
связи
– Использование шифрования для достижения целей защиты
8
Функциональные требования
● FAU - аудит/протоколирование;
● FIA - идентификация/аутентификация;
● FRU - использование ресурсов
● FCO - неотказуемость
● FPR - приватность
● FDP - защита данных пользователя;
● FPT - защита функций безопасности
● FCS - криптографическая поддержка;
● FMT - управление безопасностью
● FTA - управление сеансами работы пользователей
● FTP - доверенный маршрут/канал
9
FTP (Доверенный канал/маршрут)
● Семейства:– Доверенный канал передачи данных между
ФБО (FTP_ITC)
– Доверенный маршрут (FTP_TRP)
10
FRU — Использование ресурсов
11
Доверенный канал/маршрут
● Между кем и кем?● Кому разрешено его вызывать?● Как обеспечивается?● Для чего используется?
12
Реализация защиты
● VPN
13
Виды VPN
● Нешифрованные– MPLS
– L2TP
● Шифрованные– PPTP
– IPSEC
– OpenVPN
14
IPSEC
● Несколько режимов работы● Множество реализаций● Набор протоколов● Уровень работы по OSI - 3ий
15
Функции IPSEC
● Установка соединения по заданным правилам — протоколы IKE
● Шифрование — протоколы ESP● Доверие — протоколы AH
16
Режимы работы IPSEC
● Транспортный● Туннельный
17
IKE
● Политики связи — БД SPD● Адресаты и их ключи — SAD● Адресаты и их права — PAD● Если пакет подпадает под SPD, но адресата
нет в SAD — используется IKE для установки соединения
18
Достоинства и недостатки
● Очень развесистое семейство протоколов● Повышенная сложность настройки● Возможность создания сложных
конфигураций● Возможно фрагментарное использование● Низкая избыточность и высокая скорость● Аппаратные реализации
19
OpenVPN
● Работает на 4м уровне OSI● Может работать с пакетами и кадрами● Есть компрессия● Использует ключи и HMAC● Легкость настройки● Использует openssl для шифрования● Четкая реализация● Нет ничего похоже на IKE
20
SSL/TLS
● Используется для соединений клиент-сервер● Протокол уровня 5 и 6● Использует TCP/IP● Используется во множестве протоколов 7го
уровня● Требуется, чтобы протоколы 7го уровня
были к нему приспособлены● Использует HMAC
21
Схема работы
● Установка соединения: Hello c возможностями, ответ с выбором
● Обмен сертификатами для идентификации● DH — создание общего ключа● Команда на смену режима работы● Двусторонняя тест-проверка ключа и HMAC● Двустороннее подтверждение правильности
работы● Туннель создан - работа по протоколу