Защищенные каналы связи

1

Лекция №8

Безопасность канала связи

2

План лекции

● Защита канала связи● Проектирование по 15408.2● Технологии VPN для защиты канала связи

Цель лекции — получить представление о защите каналов связи и реализациях этой защиты

3

Определения

● Канал связи– Между частями ОО

● Маршрут связи– Между ОО и пользователем

4

Цели защиты

5

Цели защиты

● Сокрытие переданных данных

6

Цели защиты

● Сокрытие переданных данных● Сокрытие факта передачи● Невозможность модификации● Доверенность абонентов● Неотказуемость абонентов

7

Методы защиты

● Аппаратная– Организация выделенных каналов связи

– Их защита

– Их поддержание

● Программная– Использование общедоступных каналов

связи

– Использование шифрования для достижения целей защиты

8

Функциональные требования

● FAU - аудит/протоколирование;

● FIA - идентификация/аутентификация;

● FRU - использование ресурсов

● FCO - неотказуемость

● FPR - приватность

● FDP - защита данных пользователя;

● FPT - защита функций безопасности

● FCS - криптографическая поддержка;

● FMT - управление безопасностью

● FTA - управление сеансами работы пользователей

● FTP - доверенный маршрут/канал

9

FTP (Доверенный канал/маршрут)

● Семейства:– Доверенный канал передачи данных между

ФБО (FTP_ITC)

– Доверенный маршрут (FTP_TRP)

10

FRU — Использование ресурсов

11

Доверенный канал/маршрут

● Между кем и кем?● Кому разрешено его вызывать?● Как обеспечивается?● Для чего используется?

12

Реализация защиты

● VPN

13

Виды VPN

● Нешифрованные– MPLS

– L2TP

● Шифрованные– PPTP

– IPSEC

– OpenVPN

14

IPSEC

● Несколько режимов работы● Множество реализаций● Набор протоколов● Уровень работы по OSI - 3ий

15

Функции IPSEC

● Установка соединения по заданным правилам — протоколы IKE

● Шифрование — протоколы ESP● Доверие — протоколы AH

16

Режимы работы IPSEC

● Транспортный● Туннельный

17

IKE

● Политики связи — БД SPD● Адресаты и их ключи — SAD● Адресаты и их права — PAD● Если пакет подпадает под SPD, но адресата

нет в SAD — используется IKE для установки соединения

18

Достоинства и недостатки

● Очень развесистое семейство протоколов● Повышенная сложность настройки● Возможность создания сложных

конфигураций● Возможно фрагментарное использование● Низкая избыточность и высокая скорость● Аппаратные реализации

19

OpenVPN

● Работает на 4м уровне OSI● Может работать с пакетами и кадрами● Есть компрессия● Использует ключи и HMAC● Легкость настройки● Использует openssl для шифрования● Четкая реализация● Нет ничего похоже на IKE

20

SSL/TLS

● Используется для соединений клиент-сервер● Протокол уровня 5 и 6● Использует TCP/IP● Используется во множестве протоколов 7го

уровня● Требуется, чтобы протоколы 7го уровня

были к нему приспособлены● Использует HMAC

21

Схема работы

● Установка соединения: Hello c возможностями, ответ с выбором

● Обмен сертификатами для идентификации● DH — создание общего ключа● Команда на смену режима работы● Двусторонняя тест-проверка ключа и HMAC● Двустороннее подтверждение правильности

работы● Туннель создан - работа по протоколу