- Защита на комуникациите в IP-мрежите

- Защита на комуникациите в IP-мрежите

Един от методите за ограничаването на изброените атаки, е в мрежата да се осигури и поддържа стриктен контрол на достъпа до мрежата, като се дава достъп само на надеждни потребители. Този тип контрол може да се осъществи чрез:

- защитни стени в интерфейсните точки между мрежите, за да се контролират потоците пакети в тези точки на взаимодействие;

- защитени и строги процедури за достъп до мрежите в процеса на регистриране на потрбителите до мрежата, т.е. чрез използване на потребителски имена и пароли.

Повечето от фирмите в момента използват тези средства за на вътрешните си корпоративни мрежи (Интранет). Трябва да се има впредвид обаче, че е много трудно да се поддържа добра защита само чрез ограничаване на достъпа до мрежата. Напротив, основна цел на корпоративните мрежи е да осигурят лесен и отворен достъп до Интернет на колкото се може повече потребители. Освен това в големите мрежи, обслужващи много потребители е доста трудно, да се поддържа строг контрол на всеки потребител и всяка машина включена в мрежата. Проблемите по отношение на защитата стават все по-сложни с повишаване на мобилността на потребителите – потребителите много скоро ще могат да използват услугата за осъществяване на IP-връзки, независимо от това, къде се намират в момента, като за всяка връзка използват различни начини за достъп до Интернет и Интранет.

За да се осигури допълнителна защита и се достигне дадено ниво на защита, се стига до защита на самия трафик, т.е. на данните обменяни по IP-връзките. Създават се защитни механизми, които включват проверка на правата на достъп на потребителите, зашифроват се и предаваните пакети данни, за да не могат да бъдат модифицирани. Защитни механизми от този тип вече са част от продуктите на “Ericsson”. Пример за това е GSM системата, която съдържа механизъм за проверка на потребителите, имащи право на достъп до мрежата и системи за защита на трафика.

Зашифроване на данните

Двете основни цели на зашифроването на данните са:

• 
  да се осигури секретност на съобщенията;
  
• 
  да се гарантира интегритетът на съобщенията.
  

Зашифроването на пакетите, защитава съдържанието на IP-трафика, за да не бъде прочетено. Процедурата на защита е следната. Преди изпращането на съобщението, изпращачът използва ключ за да го зашифрова. Така генерираният зашифрован текст се изпраща по обществения канал, който може да се подслушва, но вече без да се разбере, какво е съобщението. За да се прочете, получателя използва ключ за разшифроване на зашифрования текст, за да се получи първоначалния текст. Ако ключовете за шифроване са еднакви, системата е симетрична. Ако тези ключове не са еднакви системата е асиметрична. За да се гарантира защитата, ключът за зашифроване трябва винаги да бъде секретен, а ако се налага да бъде за обществено ползване, трябва да бъде засекретено получаването на ключът за разшифроване от този за зашифроване. В този случай системата се нарича обществена система за шифроване. Като пример за добила известност, обществена система за шифроване е тази на Риверс-Шамир-Алдеман (RSA), която шифрова съобщението, обработвайки го като последователност от големи цели числа, които се преобразуват с използването на алгоритмите на модулната аритметика. Други известни симетрични системи за шифроване са Стандартната система за шифрпване на данни (DES), RC 4, RC 5.

Очевидно е, че е необходим механизъм за интегритета на пакетите. Добавянето на поле с код за идентификация на съобщенията (МАС поле), ще позволи на получаващата страна да установи дали пакетът е модифициран. Полето МАС съдържа поредица битове, които са добавени към оригиналното съобщение. Дали пакетът е модифициран се установява като се сравни полученото МАС поле, със съответната сума за проверка, извлечена от полученото съобщение. Ако резултатът на сумата за проверка съвпадне с полученото МАС поле, тогава се приема, че е получено оригиналното съобщение.

Криптографските механизми представляват основен механизъм за защита на комуникациите. Но освен това са необходими стандартизирани начини за идентификация на потребителите, обмен на шифрпвъчни ключове за определяне кой алгоритъм и кой формат на съобщенията да се използват и т.н. Това са задачите, които вече трябва да изпълни стандартен протокол. В момента се използват няколко различни протокола за защита в Интернет като TLS (протокол за защита на транспортния слой), SSH (протокол за създаване на защитна обвивка), Ipsec (протокол за IP-защита) и IKE (протокол за обмен на шифровъчни ключове). Тези протоколи използват следните методи за установяване на защитена сесия (връзка), а именно:

- Идентификация. Преди да бъде установена комуникационна сесия, напотребителите – участници в комуникацията, трябва да бъдат проверени правата за достъп и това става, след като те успешно се идентифицират от системата. Идентификацията на потребителите може да става с обществен или секретен ключ. При обществен ключ обикновено се използва дефинирана структура на обществени шифровъчни ключове (PKI).

- Криптографски алгоритми. Комуникационните участници се договарят, кой криптографски алгоритъм ще бъде използван, по време на обмена на шифровъчните ключове за последващата защита на данните.

- Обмен на ключове за шифроване. Участниците обменят ключовете за шифроване, с които ще се работи по време на сесията. Най-често се използват обществени ключове.

- Генериране на шифровъчни ключове. Изчисляват се и се генерират симетрични ключове, които се използват за зашифроване на всички последващи пакети и за допълване на полето МАС към всеки път.

Различните протоколи осигуряват защита на различни слоеве от протоколния стек. Протоколът Ipsec е технология за защита на всички IP-пакети на мрежовия слой и формира защитен слой от един възел до друг възел от мрежата. Ipsec може да се използва за създаване на виртуални мрежи базирани на IP протокола. Този протокол обаче не може да изпълнява идентификация или обмен на ключове за шифроване по време на сесията. Тези задачи се изпълняват от протокола за обмен на шифровъчни ключове (IKE).

Протоколът за създаване на защитна обвивка (SSH), е основен протокол за защита при установяване на достъп на отдалечен терминал до Интернет. Той се използва, за да се осигури защита на текстово базирано управление на достъпа до мрежовите възли.

Протоколът за защита на транспортния слой (TLS), се използва за защита на Web-сървърите, особено на тези за банкови услуги. За мобилния протокол за пренос на данни WAP е създадена специализирана версия на TLS протокола – WTLS. Важна разлика между двата протокола е, че WTLS може да се използва и върху ненадеждна преносна среда, с помощта на UDP (протокол за предаване на потребителски данни – дейтаграми), докато TLS се използва само с IP/TCP мрежов протокол.
Криптографията с използването на инфраструктура за генериране на обществени ключове (PKI), може да бъде използвана за идентификация на потребители и хардуерни устройства, през които минава връзката. Използва се също и за защита на обмена на ключовете за шифроване на дадена сесия.

В протоколите за защита, които са описани, задачите по идентификацията и обмена на ключове за шифроване, обикновено са свързани помежду си, за да се осигури обществените ключове да принадлежат на дадено лице или организация. Един от начините да се получи идентификация и съответствие на идентификатора на потребителя и стойността на обществения ключ, е тези два параметъра да се включат в сертификат за достъп. Сертификатът представлява информационна поредица, която се състои от полета и цифров подпис, които потвърждават верността на съдържанието на тези полета. Съществуват няколко структури за сертификати. Най-известните формати са базирани на стандартния Х.509 формат. Притежателят на даден сертификат трябва да го представя на другите потребители или възлите на мрежата за идентификация или да предоставя защитен обмен на ключове за шифроване.

Когато този сертификат се получава по време на установяване на сесията, сървърът за достъп проверява данните в него. Полученият обществен ключ за шифроване може да се използва, само ако подписът е коректен и истинският потребител го е подписал. Ако подписът в сертигфиката не е коректен, или истинският притежател не го е подписал, тогава няма да бъде изградена защитна сесия. Обикновено организацията, която издава тези сертификати е добре известна и ги издава по защитен начин. “VeriSign” е пример на голяма организация, оторизирана за издаване на сертификати в Интернет. Доставчиците на услуги, трябва да си платят за услугата получаване на сертификат за защита на своите сървъри за достъп.

Повечето от сертификатите са валидни само за известен период от време. Ако потребителят загуби своя личен сертификат, или по някаква друга причина неговия сертификат се окаже невалиден, тогава организацията, която е издала сертификата трябва да възстанови действието му. Това става като се разпраща списък с възстановените сертификати.

В заключение трябва да се отбележи, че днес злоумишлени потребители могат лесно да подслушват, отклоняват IP-трафик, да въвеждат фалшиви пакети данни, да модифицират пакетите данни, да задръстват услуги чрез хакерски атаки, или да разпространяват унищожителен за системите софтуер и вируси. Един от начините за предотвратяването на тези атаки, е да се поддържа добър контрол върху достъпа до мрежата с помощта на защитни стени и процедури за защитено регистриране, за работа в мрежата.

За да се постигне желаното ниво на защита, освен мерките по ограничаване на достъпа, самия трафик трябва да бъде защитен. Криптографията осигурява базата за създаване на решения за защита на трафика. Решенията за защита включват проверка на правата на достъп на потребителите, шифроване на пакетите данни и защита срещу модифициране.

Най-директният механизъм за регулиране на достъпа е установяването на сигурно защитено взаимодействие между потребителя и мрежата. Криптографията се използва за да се засекретят съобщенията и да се гарантира тяхната автентичност и цялост. Секретността се осигурява, чрез зашифроване, а интегритета (цялостта) на данните – чрез кодове за проверка, или цифрови подписи и сертификати.

Макар, че криптографските алгоритми са основните методи за защита на комуникациите, разработват се и стандартни методи за идентификация на потребителите, чрез обмяна на ключове, които указват кои алгоритми и формати на съобщенията да се използват и т.н. Това се осъществява по следния начин:

Първо, преди да се установи комуникационната сесия, потребителите, които ще участват в комуникацията трябва да опознаят своите идентификации. Идентификацията се базира на използването на обществен или частен (секретен) ключ. Ако се използват обществени ключове, се прибягва до специализирана инфраструктура за присвояване на обществени ключове – технология, която може да поеме нарастващите изисквания, за раздаване на голям брой ключове в мрежата и за защита на обществените Интернет-услуги.

Второ, потребителите участващи в комуникационната връзка, се договарят, кой криптографски алгоритъм ще се използва при обмяната на ключовете и шифроването на данните.

Трето, определя се фазата за обмен на криптографските ключове за дадена сесия. Тази фаза, която се отнася за обмен на обществените ключове, се използва за опознаване на потребителите, машините и за защитена обмяна на ключовете за шифроване на данните.

Четвърто, изчисляват се и се присвояват симетрични ключове, за да се шифроват всички последващи пакети данни и да се добави МАС поле към всеки пакет.