Скачать презентацию Тема 23 Особенности проверки механизмов защиты при использовании Скачать презентацию Тема 23 Особенности проверки механизмов защиты при использовании

Защита сети VPN.ppt

  • Количество слайдов: 30

Тема 23 Особенности проверки механизмов защиты при использовании виртуальных частных сетей 1 Тема 23 Особенности проверки механизмов защиты при использовании виртуальных частных сетей 1

Лекция Особенности проверки (порядок, методы, инструментальные средства, отчетность) механизмов защиты при использовании виртуальных частных Лекция Особенности проверки (порядок, методы, инструментальные средства, отчетность) механизмов защиты при использовании виртуальных частных сетей. 2

Угрозы, которым противостоит ВЧС 3 Угрозы, которым противостоит ВЧС 3

Спецификации системы протоколов IPSec (IP Security Protocol) ¨RFC 2401 “Security Architecture for the Internet Спецификации системы протоколов IPSec (IP Security Protocol) ¨RFC 2401 “Security Architecture for the Internet Protocol”. IP Authentication Header (RFC 2402); ¨The Use of HMAC-MD 5 -96 within ESP and AH (RFC 2403); ¨The Use of HMAC-SHA-1 -96 within ESP and AH (RFC 2404); ¨The ESP DES-CBC Cipher Algorithm With Explicit IV (RFC 2405); ¨IP Encapsulating Security Payload (ESP) (RFC 2406); ¨The Internet IP Security Domain of Interpretation for ISAKMP (RFC 2407); ¨Internet Security Association and Key Management Protocol (ISAKMP) (RFC 2408); ¨The Internet Key Exchange (IKE) (RFC 2409); ¨The NULL Encryption Algorithm and Its Use With IPsec (RFC 2410); ¨IP Security Document Roadmap (RFC 2411); ¨The OAKLEY Key Determination Protocol (RFC 2412); ¨The ESP CBC-Mode Cipher Algorithms (RFC 2451). 4

Основные задачи IPSec ¨ аутентификация пользователей или устройств (конечных точек) при инициации защищенного канала; Основные задачи IPSec ¨ аутентификация пользователей или устройств (конечных точек) при инициации защищенного канала; ¨ шифрование и аутентификация передаваемых данных между конечными точками защищенного канала; ¨ автоматическое снабжение конечных точек канала секретными ключами, необходимыми для работы протоколов аутентификации и шифрования данных. 5

Протоколы IPSec ¨ протокол АН (Authentication Header), который обеспечивает целостность и аутентификацию источника данных Протоколы IPSec ¨ протокол АН (Authentication Header), который обеспечивает целостность и аутентификацию источника данных в передаваемых пакетах, а также дополнительно - защиту от ложного воспроизведения пакетов; ¨ протокол ESP (Encapsulation Security Payload), обеспечивающий шифрование, аутентификацию и целостность передаваемых данных, и дополнительно защиту от ложного воспроизведения пакетов; ¨ протокол IKE (Internet Key Exchange), определяющий способ инициализации защищенного канала, а также процедуры обмена и управления секретными ключами в рамках защищенного соединения. 6

Последовательность работы протоколов IKE, AH и ESP ¨ с помощью протокола IKE между двумя Последовательность работы протоколов IKE, AH и ESP ¨ с помощью протокола IKE между двумя точками устанавливается защищеный канал (выполняется аутентификация конечных точек канала, например, с использованием техники публичных ключей и цифровых сертификатов стандарта Х. 509; выбираются параметры защиты данных, например, алгоритм шифрования, сеансовый ключ – по алгоритму Диффи-Хеллмана и т. п), который в стандартах IPSec носит название "безопасная ассоциация" — Security Association, SA ¨ в рамках установленного канала SA с помощью одного из протоколов АН или ESP выполняется требуемая защита передаваемых данных. 7

Протокол AH позволяет приемной стороне убедиться в следующем ¨ пакет был отправлен стороной, с Протокол AH позволяет приемной стороне убедиться в следующем ¨ пакет был отправлен стороной, с которой установлена данная ассоциация; ¨ содержимое пакета не было искажено в процессе передачи его по сети; ¨ пакет не является дубликатом некоторого пакета, полученного ранее. 8

Назначение ВЧС Центр. Офис Internet Офис 3 Офис 1 Офис 2 9 Назначение ВЧС Центр. Офис Internet Офис 3 Офис 1 Офис 2 9

¨совместимость с существующей сетевой инфраструктурой ¨интегрируемость с существующей подсистемой информационной безопасности ¨полная прозрачность для ¨совместимость с существующей сетевой инфраструктурой ¨интегрируемость с существующей подсистемой информационной безопасности ¨полная прозрачность для существующих корпоративных приложений 10

Уровни защиты сети организации PKI VPN Разграничение доступа и защита ЛВС Защита персонального компьютера Уровни защиты сети организации PKI VPN Разграничение доступа и защита ЛВС Защита персонального компьютера 11

¨интегрируемость со средствами защиты информации «нижнего» уровня ¨интегрируемость с системой PKI ¨поддержка открытых Internet-стандартов ¨интегрируемость со средствами защиты информации «нижнего» уровня ¨интегрируемость с системой PKI ¨поддержка открытых Internet-стандартов ¨поддержка открытых интерфейсов 12

Центральный Офис VPN-Клиент VPN-Сервер Выделенный сегмент ЛВС Удаленный филиал VPN-Сервер IPsec VPN-Сервер IP IP Центральный Офис VPN-Клиент VPN-Сервер Выделенный сегмент ЛВС Удаленный филиал VPN-Сервер IPsec VPN-Сервер IP IP IP VPN-Сервер IPsec S u SA n PR se r 0 C v 2 re VPN-шлюз IPsec VPN-Клиент S u SA n PR sev 2 C r 0 re S u SA n PR s. Cv 2 rr 0 ee IPsec Центр управления корпоративной VPN S u SA n PR C v 2 se r 0 re VPN-шлюз VPN-сервер VPN-шлюз IPsec Internet ec IPsec ec IPs c se IP VPN-Сервер IP Мобильный пользователь VPN-Клиент WWW-Сервер VPN-Клиент Удаленный офис 13

¨наличие полного ряда VPN-агентов (шлюз, сервер, клиент) ¨поддержка популярных аппаратных платформ и операционных систем ¨наличие полного ряда VPN-агентов (шлюз, сервер, клиент) ¨поддержка популярных аппаратных платформ и операционных систем ¨поддержка мобильных пользователей, в т. ч. и внутри локальных сетей ¨одновременная поддержка закрытых и открытых соединений 14

15 15

Центральный офис Удаленный офис S un S s PAR SPAR Ce v e sr Центральный офис Удаленный офис S un S s PAR SPAR Ce v e sr r 0 Cr v 2 e r 2 e 0 VPN-клиент Internet VPN-сервер S un S C PAR e SPAR sr v r e sr v 2 Ce r 0 e 2 0 VPN-клиент IPsec IP WWW-сервер 16

¨реализация функций межсетевого экрана на каждом VPN-агенте (технология distributed firewalling) 17 ¨реализация функций межсетевого экрана на каждом VPN-агенте (технология distributed firewalling) 17

Главный секретный ключ S un SA s P RC v ee rr Центр управления Главный секретный ключ S un SA s P RC v ee rr Центр управления корпоративной VPN 2 0 VPN-Клиент Секретный ключ Березин АС «ЭЛВИС+» 5 e 4 f 26 bcc CA: 4 fb 2 a 9 Открытый сертификат Березин АС «ЭЛВИС+» 5 e 4 f 26 bcc CA: 4 fb 2 a 9 u. S n VPN-Клиент SP ARC sre vr e 2 0 VPN-Сервер Березин АС «ЭЛВИС+» 5 e 4 f 26 bcc CA: 4 fb 2 a 9 Центр сертификации корпоративной VPN S u SA n PR se r 0 C v 2 re Березин АС «ЭЛВИС+» 5 e 4 f 26 bcc CA: 4 fb 2 a 9 VPN-шлюз Березин АС «ЭЛВИС+» 5 e 4 f 26 bcc CA: 4 fb 2 a 9 VPN-Сервер Березин АС «ЭЛВИС+» 5 e 4 f 26 bcc CA: 4 fb 2 a 9 Сервер сертификатов корпоративной VPN Березин АС «ЭЛВИС+» 5 e 4 f 26 bcc CA: 4 fb 2 a 9 S u SA n PR C v 2 se e 0 rr VPN-шлюз Удаленное рабочее место VPN- Клиент 18

¨реализация базовых функций PKI ¨поддержка взаимодействия с внешним модулем PKI ¨централизованное, целостное и оперативное ¨реализация базовых функций PKI ¨поддержка взаимодействия с внешним модулем PKI ¨централизованное, целостное и оперативное управление и аудит корпоративной VPN ¨оперативное взаимодействие с корпоративными центрами управления 19

Порядок и методы проверки • Экспертная оценка полноты и достаточности представленных документов по обеспечению Порядок и методы проверки • Экспертная оценка полноты и достаточности представленных документов по обеспечению защищенности ВЧС • Контроль состава оборудования и исходного состояния ПО на предмет соответствия представленным документам • Проверка функций защиты оборудования с помощью пробного пуска, а также с помощью тестирующих средств • Попытки «взлома» оборудования и ПО 20

Требуемые сертификаты 21 Требуемые сертификаты 21

Контроль исходного состояния ПО Контроль заключается в фиксации исходного состояния ПО и сравнении полученных Контроль исходного состояния ПО Контроль заключается в фиксации исходного состояния ПО и сравнении полученных результатов с приведенными в документации. Результат контроля - уникальные значения контрольных сумм ПО 22

Копирование ПО оборудования 23 Копирование ПО оборудования 23

Копирование ПО оборудования • • Подключить консоль к оборудованию Установить на консоли ПО TFTP-сервера Копирование ПО оборудования • • Подключить консоль к оборудованию Установить на консоли ПО TFTP-сервера Запустить ПО эмуляции терминала Настроить IP-адреса TFTP-сервера и оборудования, так, чтобы они оказались в одной сети • Скопировать файл из флэш-памяти оборудования copy flash tftp 24

Программный комплекс «ФИКС» 25 Программный комплекс «ФИКС» 25

Отчет работы ПК «Фикс» 26 Отчет работы ПК «Фикс» 26

Порядок формирования требований безопасности ВЧС 27 Порядок формирования требований безопасности ВЧС 27

Функциональные возможности ВЧС 28 Функциональные возможности ВЧС 28

Испытательный стенд 29 Испытательный стенд 29

Испытательный стенд 1. Соединить маршрутизаторы Cisco 2610 1 и 2 между собой. 2. Подключить Испытательный стенд 1. Соединить маршрутизаторы Cisco 2610 1 и 2 между собой. 2. Подключить к маршрутизатору Cisco 2610 (1) ПЭВМ с IP-адресом 198. 1. 74. 1. 3. Подключить к маршрутизатору Cisco 2610 (2) ПЭВМ с IP-адресом 196. 1. 20. 4. 4. Включить питание на маршрутизаторах Cisco 2610. 5. Подключить ноутбук через его последовательный порт к консольному порту каждого маршрутизатора Cisco 2610 и запустить программу Hyper Terminal. 6. Настроить маршрутизаторы 1 и 2. 7. На ПЭВМ с IP-адресом 198. 1. 74. 1 запустить сеанс MS DOS и ввести команду ping. При получении ответных пакетов установление соединения считается доказанным. 8. На ПЭВМ с IP-адресом 196. 1. 20. 4 запустить сеанс MS DOS и ввести команду ping. При получении ответных пакетов установление соединения считается доказанным. 9. Для подтверждения установления безопасного соединения с консоли маршрутизаторов Cisco 2610 (1) и Cisco 2610 (2) необходимо набрать команды show crypto isakmp sa и show crypto ipsec sa. 30