| Назва: | IPSecurity |
| Тип: | Реферати |
| Мова: | Українська |
| Розмiр: | 2,24 MB |
| Скачувань: | 23 |
Ці проблеми характеризуються такими показниками, як цілісність даних, конфіденційність і достовірність|справжність|. Крім того, зашита від повторного використання (replay protection) запобігає ухваленню|прийняттю,прийманню| повторно посланого|надісланого| пакету.
2.Історична довідка появи протоколу
У 1994 році Рада з архітектури Інтернет (IAB) випустив звіт "Безпека архітектури Інтернет". У цьому документі описувалися основні області застосування|вживання| додаткових засобів|коштів| безпеки в мережі|сіті| Інтернет, а саме захист від несанкціонованого моніторингу, підміни пакетів і управління потоками даних. У числі першочергових і наиболее| важливих|поважних| захисних заходів указувалася|вказувалася| необхідність розробки концепції і основних механізмів забезпечення цілісності і конфіденційності потоків даних. Оскільки зміна базових протоколів сімейства TCP/IP викликало|спричинило| б повну|цілковиту| перебудову мережі|сіті| Інтернет, було поставлене завдання|задача| забезпечення безпеки інформаційного обміну у відкритих|відчинених| телекомунікаційних мережах|сітях| на базі існуючих протоколів. Таким чином, почала|розпочала,зачала| створюватися специфікація Secure IP, додаткова по відношенню до протоколів IPv4 і IPv6.
Активне злиття компаній і утворення нових конгламератов і альянсів змушує задуматися про організації безпеки рыботы в загальних мережах. Як правило, з'являється необхідність в обміні комерційною або іншою важливою інформацією і далеко не факт, що компанії мають спеціальний виділений канал під ці задачі. В основному вся ця інформація йде по мережі загального користування.
Існує кілька способів убезпечити комунікації: купити маршрутизатор з убудованим брандмауером або виділений брандмауер. Вибір між цими варіантами робиться виходячи з задач компанії. Якщо потрібно якісна і швидка шифрация без затримок, то єдиним правильним рішенням буде поставити виділений брандмауер. Ми пропонуємо використовувати пристрою компанії Newbridge Networks, що можуть використовуватися в мережах будь-якого масштабу для шифрации інформації від ЛВС або вилучених користувачів на мережному рівні.
Загальна схема проключения устаткування може виглядати в такий спосіб.
На схемі показані варіанти проключения офісів і підключення вилучених користувачів. Апаратні брандмауери серії Newbridge 23x розрізняються кількістю підтримуваних сесій і продуктивністю. Вибір програмного брандмауера Newbridge 130 залежить тільки від платформи, на яку він установлюється. Шифрация здійснюється на мережному рівні з використанням протоколу IPsec.
Широке проникнення протоколу IP у мережі різного масштабу невипадково. Гнучкість, ефективність і здатність виступати в ролі комунікаційного «містка» між платформами різних типів забезпечили йому заслужену популярність. Однак повсюдне поширення цього протоколу оголило і його слабкі сторони. Створюючи своє дітище, архітектори IP не бачили причин особливо турбуватися про захист мереж, що будуються на його основі. Вони і не думали, що коли-небудь відсутність ефективних засобів захисту стане основним фактором, що стримує застосування IP.
Вада, що виявилася, спочатку передбачалася заповнити в шостій версії протоколу. У 1993 р. у складі консорціуму IETF була створена робоча група IP Security Working Group, що зайнялася розробкою архітектури і протоколів для шифрування даних, переданих по мережах IPv6. Однак у міру просування в цьому напрямку ставало усе очевидніше, що розробки, споконвічно орієнтовані на IP шостої версії, можуть придатися й у більш традиційному середовищі IPv4. У результаті на світло з'явився набір протоколів IPSec, заснованих на сучасних технологіях електронного цифрового підпису і шифрування даних.
2.1 Універсальний підхід
Проблема захисту даних, переданих по глобальних IP-мережах, виникла не вчора. Перші засоби захисту з'явилися практично відразу після того, як уразливість IP-мереж дала про себе знати на практиці. Характерними прикладами розробок у цій області можуть служити PGP/Web-of-Trust для шифрування повідомлень електронної пошти, Secure Sockets Layer (SSL) для захисту Web-трафика, Secure SHell (SSH) для захисту сеансів telnet і процедур передачі файлів.
Загальним недоліком подібних широко розповсюджених рішень є їх «прихильність» до визначеного типу додатків, а виходить, нездатність задовольнити тим різноманітним вимогам до систем мережного захисту, що пред'являють великі корпорації або Internet-провайдери. Самий радикальний спосіб перебороти зазначене обмеження зводиться до того, щоб будувати систему захисту не для окремих класів додатків (нехай і досить популярних), а для мережі в цілому. Стосовно до IP-мереж це означає, що системи захисту повинні діяти на мережному рівні моделі OSI.
2.Історична довідка появи протоколу
У 1994 році Рада з архітектури Інтернет (IAB) випустив звіт "Безпека архітектури Інтернет". У цьому документі описувалися основні області застосування|вживання| додаткових засобів|коштів| безпеки в мережі|сіті| Інтернет, а саме захист від несанкціонованого моніторингу, підміни пакетів і управління потоками даних. У числі першочергових і наиболее| важливих|поважних| захисних заходів указувалася|вказувалася| необхідність розробки концепції і основних механізмів забезпечення цілісності і конфіденційності потоків даних. Оскільки зміна базових протоколів сімейства TCP/IP викликало|спричинило| б повну|цілковиту| перебудову мережі|сіті| Інтернет, було поставлене завдання|задача| забезпечення безпеки інформаційного обміну у відкритих|відчинених| телекомунікаційних мережах|сітях| на базі існуючих протоколів. Таким чином, почала|розпочала,зачала| створюватися специфікація Secure IP, додаткова по відношенню до протоколів IPv4 і IPv6.
Активне злиття компаній і утворення нових конгламератов і альянсів змушує задуматися про організації безпеки рыботы в загальних мережах. Як правило, з'являється необхідність в обміні комерційною або іншою важливою інформацією і далеко не факт, що компанії мають спеціальний виділений канал під ці задачі. В основному вся ця інформація йде по мережі загального користування.
Існує кілька способів убезпечити комунікації: купити маршрутизатор з убудованим брандмауером або виділений брандмауер. Вибір між цими варіантами робиться виходячи з задач компанії. Якщо потрібно якісна і швидка шифрация без затримок, то єдиним правильним рішенням буде поставити виділений брандмауер. Ми пропонуємо використовувати пристрою компанії Newbridge Networks, що можуть використовуватися в мережах будь-якого масштабу для шифрации інформації від ЛВС або вилучених користувачів на мережному рівні.
Загальна схема проключения устаткування може виглядати в такий спосіб.
На схемі показані варіанти проключения офісів і підключення вилучених користувачів. Апаратні брандмауери серії Newbridge 23x розрізняються кількістю підтримуваних сесій і продуктивністю. Вибір програмного брандмауера Newbridge 130 залежить тільки від платформи, на яку він установлюється. Шифрация здійснюється на мережному рівні з використанням протоколу IPsec.
Широке проникнення протоколу IP у мережі різного масштабу невипадково. Гнучкість, ефективність і здатність виступати в ролі комунікаційного «містка» між платформами різних типів забезпечили йому заслужену популярність. Однак повсюдне поширення цього протоколу оголило і його слабкі сторони. Створюючи своє дітище, архітектори IP не бачили причин особливо турбуватися про захист мереж, що будуються на його основі. Вони і не думали, що коли-небудь відсутність ефективних засобів захисту стане основним фактором, що стримує застосування IP.
Вада, що виявилася, спочатку передбачалася заповнити в шостій версії протоколу. У 1993 р. у складі консорціуму IETF була створена робоча група IP Security Working Group, що зайнялася розробкою архітектури і протоколів для шифрування даних, переданих по мережах IPv6. Однак у міру просування в цьому напрямку ставало усе очевидніше, що розробки, споконвічно орієнтовані на IP шостої версії, можуть придатися й у більш традиційному середовищі IPv4. У результаті на світло з'явився набір протоколів IPSec, заснованих на сучасних технологіях електронного цифрового підпису і шифрування даних.
2.1 Універсальний підхід
Проблема захисту даних, переданих по глобальних IP-мережах, виникла не вчора. Перші засоби захисту з'явилися практично відразу після того, як уразливість IP-мереж дала про себе знати на практиці. Характерними прикладами розробок у цій області можуть служити PGP/Web-of-Trust для шифрування повідомлень електронної пошти, Secure Sockets Layer (SSL) для захисту Web-трафика, Secure SHell (SSH) для захисту сеансів telnet і процедур передачі файлів.
Загальним недоліком подібних широко розповсюджених рішень є їх «прихильність» до визначеного типу додатків, а виходить, нездатність задовольнити тим різноманітним вимогам до систем мережного захисту, що пред'являють великі корпорації або Internet-провайдери. Самий радикальний спосіб перебороти зазначене обмеження зводиться до того, щоб будувати систему захисту не для окремих класів додатків (нехай і досить популярних), а для мережі в цілому. Стосовно до IP-мереж це означає, що системи захисту повинні діяти на мережному рівні моделі OSI.