Содержание
Введение
1Основы безопасности ВЧС
1.1 Пользовательские процессоры
1.2 Заказные и принудительные туннели
1.2.1 Заказное туннелирование
1.2.2 Принудительное туннелирование
2ВЧС на основе туннельного протокола PPTP (Point-to-Point Tunneling Protocol)
2.1 Практические аспектыобеспечения безопасности
2.3 Развитие технологии
2.4 Совершенствование аутентификации в протоколе MS-CHAP 2
2.5 Обязательное использование паролей Windows NT
2.5.1 Соблюдение правил выбора пароля
2.5.2 Основы правильного использования паролей
2.6 Повышение стойкости шифрования по протоколу MPPE
3Криптоанализ туннельного протокола PPTP
3.1 Криптоанализ функцийхэширования паролей Windows NT
3.2 Криптоанализ MS-CHAP
3.3 Криптоанализ МРРЕ
3.3.1 Восстановление ключа
3.3.2 Атаки переворота битов
3.3.3 Атака путем ресинхронизации
3.4 Другие атаки на MS-PPTP
3.4.1 Пассивный мониторинг
3.4.2 Перехват переговоров РРР
3.4.3. Потенциальные утечки информации на клиенте
3.5 Выводы
4Туннелирование по протоколу L2TP
5Протокол безопасности IP Security Protocol
5.1 Разработка на основе IP Security
5.1.1 Полная поддержка промышленныхстандартов
5.1.2 Поддерживаемые стандарты и ссылки
5.2 Туннелирование с применением IPSec
5.3 Пример передачи данных по протоколу IPSec
5.4 Преимущества и недостатки протокола L2TP/IPSec.
6Сравнение протоколов PPTP и IPSec
7Протокол EAP
7.1 Обеспечение безопасности на уровне транзакций
7.2 Аутентификация с помощьюслужбы RADIUS
7.3 Учет бюджета ВЧС с помощью службы RADIUS
7.4 Протокол EAP и RADIUS
8Шифрование
8.1 Симметричное шифрование (с личным ключом)
8.2 Асимметричное шифрование (с открытым ключом)
8.3 Структурное и бесструктурное шифрование
8.4 IPSec и бесструктурное шифрование
9Фильтрация
9.1 Фильтрация на сервере маршрутизации и удаленногодоступа ВЧС
9.2 Фильтрация IPSec
9.3 ВЧС и брандмауэры
10Выбор средств ВЧС
10.1 Анализ угроз сетевой безопасности
10.2 Безопасность и требования к паролю
10.3 Возможности реализаций VPN на различных версияхWindows.
10.4Часто задаваемые вопросы при выборе средств VPN
Есть ли различия в обеспечениибезопасности удаленного доступа и доступа в ВЧС?
Можно ли сказать, что ВЧС набазе IPSec безопаснее виртуальных сетей на базе PPTP?
Можно ли сказать, что ВЧС набазе L2TP безопаснее виртуальных сетей на базе PPTP?
Можно ли сказать, что межсерверные ВЧС безопаснее клиент-серверныхвиртуальных сетей?
11Создание виртуального частного подключения в Windows 2000
11.1 Создание подключения к удаленному серверу
11.2 Создание входящего подключения
12Создание виртуального частного подключения в Windows NT
12.1 Установка протокола PPTP
12.2 Добавление VPN устройств наPPTP сервер
12.3 Создание записи в телефонной книге для подключения кпровайдеру Интернета
12.4 Создание записи в телефонной книге для подключения кPPTP серверу
13Создание виртуального частного подключения в Windows9х
13.1 Установка Адаптера виртуальной частной сети Microsoft
13.2 Создание VPN-соединения
14 Использование программы Sniffer Pro для просмотрасодержимого пакетов
Заключение
Введение
Операционныесистемы Microsoftâ Windowsâ 95,Windows 98, Windows NTâ и Windows 2000 позволяют организовыватьпростую, безопасную и высокорентабельную связь, преодолевая тем самымгеографические и государственные границы на пути развития бизнеса. Одной изважнейших особенностей коммуникационных платформ на базе Windows, несомненно,является поддержка виртуальных частных сетей (ВЧС).
Виртуальныечастные сети находят сегодня все более широкое распространение. Этомуспособствует два обстоятельства: экономичность такого вида связи и одновременно– высокая безопасность инфраструктуры частных сетей. Используя ВЧС, икомандированный работник, и служащий филиала может подключиться к корпоративнойсети с обычного локального телефона, что намного дешевле выхода на линиимеждугородной связи или абонирования «бесплатного» номера 800, не говоря уж обаренде выделенных каналов связи. Безопасность же ВЧС достигается за счеторганизации так называемых туннельных подключений, позволяющих войти вкорпоративную сеть только тем пользователям, которые прошли аутентификацию.Средства ВЧС, предлагаемые корпорацией Microsoft, обеспечивают шифрованиеинформации с применением 128-битового ключа. В целом виртуальную частную сетьможно представить как своеобразный туннель, проложенный через Интернет илидругую общедоступную сеть. По безопасности и функциональности туннелированиепрактически ничем не уступает частным сетям. Под туннелированием понимаетсявключение информационного пакета в обычный IP-пакет (так называемоеинкапсулирование) и его передача в таком виде по общедоступной сети. Когдаинкапсулированный пакет поступает в сеть получателя, например, в корпоративнуюлокальную вычислительную сеть (ЛВС), внешняя IP-оболочка с него снимается,после чего обработка информации производится обычным способом.
ВЧС ужедоказали свою высокую эффективность в организации работы с надомными служащими,филиалами и внешними партнерами, благодаря чему превратились в один из ключевыхэлементов общей корпоративной стратегии информационных технологий.
КорпорацияMicrosoft была в числе пионеров интеграции средств ВЧС и сейчас продолжаетактивно работать в этом направлении. Совместно со своими отраслевыми партнерамии Целевой группой технической поддержки Интернета IETF корпорациясовершенствует технологии виртуальных частных сетей и средства обеспечения ихбезопасности. Настоящий документ посвящен вопросам защиты ВЧС, оценке угрозы ихбезопасности и различным способам ее устранения, которые предлагает Microsoft.
Microsoftразработала широкий спектр средств организации ВЧС, способных удовлетворитьсамые разные запросы в области защиты информации. Одним из них являетсяпротокол PPTP (Point-to-Point Tunneling Protocol – протокол туннелированиямежду узлами), призванный свести к минимуму общую стоимость владения системой.Корпорация встроила его в свои операционные системы Windows 95,Windows 98 и Windows NT 4.0, а независимые производители сделали этотпротокол доступным пользователям Windows 3.1 и Macintosh. Протокол PPTPсовместим с широким кругом аппаратных платформ, позволяет производить аутентификациюпо паролю и не требует инфраструктуры сертификации.
Чтобыобеспечить еще больший уровень безопасности, корпорация включает в операционнуюсистему Windows 2000 собственную реализацию протоколов L2TP (Layer 2Tunneling Protocol – протокол туннелирования канального уровня) и IPSec(Internet Protocol Security – протокол безопасности в Интернете). Правда,применение этих средств предъявляет повышенные требования к системам: для нихнеобходимо развертывание PKI (Public Key Infrastructure – инфраструктура соткрытыми ключами) и применение центральных процессоров класса Pentium.
1 Основы безопасности ВЧС
Туннель ВЧСслужит для транспортировки информации, не отвечающей стандартам адресацииИнтернета. Чтобы доставить такие данные от одного конца туннеля к другому,программа помещает (инкапсулирует) их в стандартные IP-пакеты, которые затемпересылаются по промежуточным сетевым каналам от одной сети (или одиночногоклиента) к другой. Весь процесс инкапсулирования и пересылки пакетов называетсятуннелированием, а логическое подключение, используемое для их передачи, –туннелем. Таким образом, туннель представляет собой логический канал связи,проложенный через Интернет или любую другую промежуточную сеть. Удаленныепользователи при этом играют роль виртуальных узлов той сети, с которой онисоединены туннелем.
Дляпользователя не имеет никакого значения характер физической сети, через которуюпроложен туннель: с его точки зрения, вся информация пересылается как бы повыделенной частной сети.
/>
Рисунок 1 — Концептуальная модель ВЧС
Инкапсулирование,как и шифрование потоков данных, жизненно необходимы для передачи информации черезИнтернет. Функции инкапсулирования, выполняемые с помощью протоколов PPTP иL2TP, упрощают организацию многопротокольной связи, так как позволяютпересылать по IP-сетям пакеты данных, созданные на основе других протоколов.Благодаря этому удаленный клиент может применять для подключения ккорпоративной ЛВС любой протокол и при этом пользоваться всеми преимуществамиИнтернета./> 1.1 Пользовательские процессоры
Средстваорганизации ВЧС, разработанные Microsoft, позволяют подключать к серверам набазе Windows NT так называемые пользовательские процессоры (front-endprocessor, ПП), управляющие доступом клиентов в сеть данного сервера.Применение таких посредников дает возможность устанавливать туннельныеподключения даже тем клиентам, которые не оснащены средствами ВЧС. Пользовательможет и не знать, подключился он к серверу напрямую, или через ПП, создавшийдля него туннель. Благодаря этому в ВЧС Microsoft обеспечивается «прозрачный»доступ к клиентам РРР, позволяющий им работать в средах Unix, Win 16, MS-DOS®,а также взаимодействовать с клиентами Macintosh и другими.
Пользовательскийпроцессор не имеет доступа к данным, циркулирующим между клиентом и сервером,поэтому его вполне можно разместить на узле поставщика услуг Интернета. ЗдесьПП будет выполнять роль бесстрастного регулировщика, которого нисколько некасается содержимое проходящей через него информации. С точки зрениябезопасности это означает, что компания сохраняет полный контроль за доступом всеть, да и безопасность ее данных нисколько не страдает. Такая схема оченьудобна для тех компаний, которые готовы передать управление удаленным доступомпо коммутируемым каналам в руки сторонних поставщиков услуг, но при этом хотятобеспечить полную безопасность своей информации.
Для надежнойзащиты данных необходимо ограничивать доступ к серверу, а не кпользовательскому процессору. С этой целью проверка аутентификации всехпользователей, которые пытаются подключиться к серверу, производится на самом сервере.Функции ПП ограничиваются проверкой идентификатора пользователя и созданиемтуннеля к серверу. Как мы видим, этот посредник и здесь играет пассивную роль,ничуть не снижая безопасности соединения./> 1.2 Заказные и принудительные туннели
Существуетдва типа туннелей ВЧС – заказные (voluntary) и принудительные (compulsory). Длясоздания заказного туннеля необходимо, чтобы клиент был оснащен средствамисоздания ВЧС, тогда как принудительный туннель организуется при посредничествепользовательского процессора./>/> 1.2.1 Заказноетуннелирование
Заказныетуннели создаются самой рабочей станцией, которая организует ВЧС с удаленной сетью.Чтобы создать их, клиенту нужны собственные средств ВЧС, то есть, он долженподдерживать протокол PPTP или L2TP, а также иметь вспомогательное программноеобеспечение (сервер туннелирования обеспечивает поддержку всех такихкомпонентов по умолчанию). При этом клиент и сервер должны применять один и тотже протокол туннелирования.
Заказнойтуннель может прокладываться по уже имеющемуся у клиента сетевому подключениюмежду его рабочей станцией и выбранным сервером туннелирования. Однако чащерабочей станции приходится сначала связываться по коммутируемому каналу странспортной сетью – лишь после этого клиент может приступать к организациитуннеля.
/>/>1.2.2 Принудительное туннелирование
Если нужно проложить туннель через Интернет, но клиент не оснащенсредствами ВЧС, он может подключиться к пользовательскому процессору поставщикауслуг. Благодаря этому создается так называемый принудительный туннель, длякоторого клиенту не нужна ни поддержка протоколов PPTP и L2TP, нивспомогательное ПО. Все это имеется на пользовательском процессоре. Как и призаказном туннелировании, здесь действует условие: ПП и сервер туннелированиядолжны применять в каждом индивидуальном подключении один и тот же протокол ВЧС(PPTP или L2TP).
Обычнопользователю клиентского компьютера сообщается специальный телефонный номер,открывающий ему доступ к пользовательскому процессору. К примеру, корпорация,владеющая частной сетью, может заключить с поставщиком услуг Интернетасоглашение о развертывании ПП на территории определенного района или даже всейстраны. Каждый из пользовательских процессоров способен прокладывать ВЧС черезИнтернет и связываться по нему с сервером туннелирования, установленным вчастной сети корпорации. Подобная схема получила название принудительноготуннелирования, поскольку здесь клиент просто не может отказаться отиспользования ВЧС. Как только подключение установлено, все сообщения склиентского ПК автоматически направляются через туннель./>
2ВЧС на основе туннельного протокола PPTP(Point-to-PointTunnelingProtocol)
Протокол PPTP представляет собой открытый отраслевой стандарт.Создание этого протокола стало результатом объединенных усилий целого рядаизвестных производителей сетевых компонентов, включая Ascend Communications,3Com/Primary Access, ECI Telematics, US Robotics и Microsoft. Эти компанииосновали Форум PPTP, результаты работы которого стали широко известны в 1996году, когда на рассмотрение Группы целевой технической поддержки Интернета(IETF) был передан проект новой спецификации.
РРТР — протокол, который позволяет выполнять туннелирование РРР-соединений по IP-сетипутем создания VPN. Таким образом, удаленный компьютер в сети Х можеттуннелировать трафик на шлюз в сети У и имитировать подключение, с внутреннимIP-адресом, к сети У. Шлюз получает трафик для внутреннего IP-адреса и передаетего удаленной машине в сети Х. Существуют два основных способа использованияРРТР: по Интернет и по коммутируемым соединениям.
Функционирование РРТР заключается в инкапсулировании пакетоввиртуальной сети в пакеты РРР, которые в свою очередь, инкапсулируются в пакетыGRE (Generic Routing Incapsulation), передаваемые по IP от клиента к шлюзу — серверу РРР и обратно. Совместно с каналом инкапсулированных данных существуетуправляющий сеанс на базе TCP. Пакеты управляющего сеанса позволяют запроситьстатус и сопровождать сигнальную информацию между клиентом и сервером. Каналуправления инициируется клиентом на сервере на ТСР-порте 1723. В большинствеслучаев это двунаправленный канал, по которому сервер посылает запросы насервер и наоборот.
РРТР неоговаривает конкретных алгоритмов аутентификации и протоколов; вместо этого онобеспечивает основу для обсуждения конкретных алгоритмов. Переговоры не присущитолько РРТР, они относятся к существующим вариантам переговоров РРР,содержащихся в ССР, СНАР и других расширениях и усовершенствованиях РРР.
Microsoft РРТР является частью ОС Windows NT Server, данноепрограммное обеспечение можно бесплатно получить с Web-сайта Microsoft.Подключение осуществляется с помощью панели управления и редактора реестра.Данная реализация РРТР широко используется в коммерческих применениях VPN,например Aventail и Freegate именно потому, что входит в состав ОС Microsoft.
СерверMicrosoft РРТР может существовать только для Windows NT, хотя клиентскоепрограммное обеспечение существует для Windows NT, некоторых версий Windows иWindows 98. Реализация Microsoft поддерживает три варианта аутентификации:
· Текстовыйпароль: Клиент передает серверу пароль в открытом виде.
· Хэшированныйпароль: Клиент передает серверу хэш пароля
· Вызов/Отклик:Аутентификация сервера и клиента с использованием протокола MS-CHAP(вызов/отклик), что описано в параграфе 4.
· Третийвариант называется в документации для пользователей «АутентификацияMicrosoft», для шифрования пакетов РРТР его надо разрешить. При выборелюбого из двух других вариантов шифрование неосуществимо. Кроме того, возможностьшифрования (40- или 128-разрядное) гарантируется только в том случае, есликлиент использует Windows NT. Некоторые клиенты Windows 95 не могутподдерживать зашифрованные сеансы.
Протокол PPTP тесно интегрирован со службой удаленного доступа(Remote Access Services), входящей в Windows NT Server и Windows 98, атакже с дополнительным компонентом создания сетей с доступом по коммутируемымканалам Dial-Up Networking 1.2 Upgrade для операционной системыWindows 95.
/>
Рисунок 2 – туннель с использованием протокола PPTP/> 2.1 Практические аспекты обеспечения безопасности
Любой специалист в области сетевой связи и безопасности прекраснознает, что на практике защищенность компьютера определяется рядом постоянноизменяющихся параметров, включая уровень развития технологии, правила работы,физическую безопасность системы. Все это приходится тщательно учитывать ивзвешивать, когда дело доходит до определения допустимого риска и выборасредств его минимизации. PPTP является одной из составных частей общего планаорганизации безопасной связи, обусловленных прагматическим подходом к защитесетей. Учитывая это, Microsoft избрала PPTP в качестве основы для подключениявсех ВЧС к собственным корпоративным сетям.
За все время эксплуатации виртуальных частных сетей на базеWindows клиенты ни разу не пожаловались на недостаточную их защищенность. НоMicrosoft не успокаивается на достигнутом и продолжает совершенствоватьтехнологию Windows Networking andCommunications (организация сетей и связи в среде Windows). Очередным шагом вэтом направлении стал выпуск дополнительного программного пакета PPTPPerformance and Security Upgrade (обновление для повышения производительности ибезопасности на основе PPTP) для клиентов и серверов, работающих подуправлением Windows.
Средства ВЧС, созданные Microsoft на базе PPTP, сочетают в себевсе достоинства широко распространенных открытых платформ, полнофункциональныхсетей и тесной интеграции с Windows. В результате удалось создать простую вработе, легко программируемую и очень гибкую коммуникационную платформу.Правильно настроив систему на базе Windows, взяв на вооружение PPTP, используясредства обеспечения безопасности операционной системы, пользователь получаетэкономичную, надежную и хорошо защищенную платформу для ВЧС, котораязначительно снижает расходы на организацию связи./> 2.3 Развитие технологии
Накопление все новых знаний в этой области и быстрое развитиетехнологий приводят к совершенствованию средств шифрования и сетевой защиты.Учитывая это, корпорация постоянно модернизирует службы безопасности своихоперационных систем и выпускает обновленные продукты на их основе.
Из новшеств Microsoft в области технологий создания ВЧС на базеPPTP можно упомянуть:
более совершенную аутентификацию впротоколе MS-CHAP 2;
повышение надежности аутентификации попаролю;
повышение стойкости шифрования попротоколу MPPE (Microsoft Point-to-Point Encryption – шифрование между узлами)./> 2.4 Совершенствованиеаутентификации в протоколе MS-CHAP 2
Протокол MS-CHAP (Microsoft Challenge-Handshake AuthenticationProtocol – протокол взаимной аутентификации Microsoft) содержит механизмаутентификации, необходимый для проверки регистрационных данных пользователя вдоменах Windows NT. Созданные с его помощью сеансовые ключи применяются дляшифрования данных пользователя, как это описано в разделе, посвященномпротоколу MPPE.
Шифрованием называется процесс кодирования данных с цельюпредотвращения несанкционированного доступа к ним, особенно в процессепересылки по открытым каналам связи. Шифрование производится с применениемспециализированных алгоритмов на основе так называемых секретных ключей,преобразующих данные (например, пароль) в псевдослучайный набор знаков.Прочесть закрытую таким способом информацию способен только тот, кому известенсоответствующий ключ. Хешированный пароль, скажем, может быть дешифрован лишьна том компьютере, где имеется такой же ключ (вспомним детское шифрование спомощью двух одинаковых бумажных матриц). Применяемые при шифровании алгоритмы,особенно с ключами длиной более 128 бит, практически полностью исключаютвозможность дешифрования информации посторонними.
Протокол MS-CHAP 2 описывает порядок одностороннего преобразованияпользовательского пароля, алгоритм генерации запроса сервером, алгоритмгенерации запроса клиентом и дополнительные данные, включаемые в сообщениеSuccess (Аутентификация успешна). Если клиент MS-CHAP 2 не смог идентифицировать сервер, он отключается.
Получив от клиента MS-CHAP 2 запрос нааутентификацию, сервер сетевого доступа прежде всего направляет на удаленныйклиент собственный запрос, состоящий из сеансового идентификатора и случайнойконтрольной последовательности. В ответ удаленный клиент должен вернуть имяпользователя и хешированную последовательность из полученного запроса,дополненные сеансовым идентификатором и хешированным паролем. Как мы видим,здесь предусматривается хеширование уже хешированного пароля, что создаетдополнительный уровень безопасности. При такой схеме пароли сохраняются насервере зашифрованными, а не в виде открытого текста.
В MS-CHAP 2 предусмотрены дополнительные коды ошибки, в том числекод истечения срока действия пароля, а также новые шифрованные клиент-серверныесообщения, благодаря которым пользователь может изменить свой пароль. В новойреализации протокола Microsoft первичный ключ, необходимый для последующегошифрования данных по протоколу MPPE, генерируется клиентом и серверомнезависимо друг от друга.
Ранее протокол Microsoft PPTP допускал применение и других, менеенадежных механизмов аутентификации в ВЧС. Теперь же он использует толькоMS-CHAP, что значительно повышает безопасность аутентификации./>/>Повышение надежностиаутентификации по паролю
Как уже отмечалось, при подключении к PPTP-серверу, работающемупод управлением Windows NT, клиенты на базе Windows проводят двустороннююаутентификацию по протоколу MS-CHAP. Чтобы не допустить перехвата передаваемогопароля, используется функция хеширования (пароли Windows NT могут иметь длинудо четырнадцати 16-битовых символов из одного набора Unicode; строчные ипрописные буквы в них различаются).
В процессе аутентификации первичный ключ шифрования генерируетсяпутем хеширования пароля пользователя, что налагает на него особые требования.Администратор сети должен всячески стимулировать применение как можно болеесложных паролей Windows NT. Узнав пароль пользователя, злоумышленниктеоретически может расшифровать данные, пересылаемые между клиентом и сервером,– для этого ему нужно только перехватить шифрованный PPTP-сеанс связи. Правда,на практике прочесть сообщение, зашифрованное с помощью 128-битового ключа,намного сложнее, так как пароль представляет собой лишь одну часть блокаданных, хэшированием которого генерируется криптоключ.
Windows NT допускает применение и прежних паролей LANManager, однако они намного примитивнее «родных» паролей операционной системы.Это делает их более уязвимыми для прямых атак с применением грубой силы,словарных атак и попыток угадать правильный пароль.
2.5 Обязательное использование паролей Windows NT
Microsoft выпустила дополнение к клиентским и сервернымPPTP-компонентам для Windows NT, позволяющее повысить надежность применяемыхпаролей. С его помощью можно настроить систему таким образом, что она просто недопустит аутентификации по старым паролям, и пользователям волей-неволейпридется перейти на пароли Windows NT. К тому же это дополнение даетвозможность изменить конфигурацию PPTP-клиентов Windows NT, запретив аутентификациюпо паролям LAN Manager. 2.5.1 Соблюдение правилвыбора пароля
Microsoft рекомендует своим клиентам принять все необходимые меры,чтобы в их сетях применялись только сложные пароли повышенной стойкости,содержащие случайную комбинацию строчных и прописных букв, цифр и знаковпрепинания. Для обеспечения безопасности сети крайне важно регулярно обновлятьпароли. В соблюдении этих правил способна помочь Windows NT. Все пакетыобновления для Windows NT 4.0, начиная с Service Pack 2, снабжаютсяинструментальными средствами администрирования, которые обеспечивают выполнениеправил безопасности и лучшее управление паролями. 2.5.2 Основы правильногоиспользования паролей
Как отмечалось выше, хороший пароль долженбыть не короче установленной длины и содержать символы различных типов.Надежным считается тот пароль, который невозможно угадать. И никогда нельзязабывать, что от качества пароля зависит уровень безопасности всей сети!
К числу плохих следует однозначно отнестипароли, которые:
состоятисключительно из словарных слов;
используют буквытолько одного регистра (строчные или прописные);
созданы на основеимен людей и названий предметов, о которых нетрудно догадаться (имя сына илидочери владельца пароля, кличка его собаки и даже девичья фамилия матери).
А вот требования, которым долженудовлетворять надежный пароль:
в тексте паролядолжны быть хотя бы одна цифра и один небуквенный символ (например,вопросительный знак);
для постороннегонаблюдателя пароль должен выглядеть бессмысленным набором символов, которыйочень трудно запомнить;
текст не долженсодержать осмысленных слов и личных имен.
Нельзя забывать и о том, что в алгоритме шифрования со 128-битовымключом, использованном корпорацией Microsoft, в основу ключа шифрованиякладется не только сложный пароль, но и запросы, которыми обмениваются клиент ссервером. Такой подход еще более усложняет атаки на сеть. Корпорация Microsoftрекомендует всем организациям, действующим в Северной Америке, предусмотреть всвоих правилах обязательное применение 128-битовых ключей, поскольку, какпоказывает практика, ключи длиной 40 бит при определенных условиях невыдерживают атак с применением «грубой» силы./>/> 2.6 Повышение стойкости шифрования по протоколу MPPE
Шифрование информации создает еще один уровень защиты виртуальныхчастных сетей, созданных на базе протокола PPTP, который необходим на случайперехвата пакетов ВЧС. Правда, такая возможность носит скорее теоретическийхарактер и весьма маловероятна на практике. Тем не менее, можно представитьсебе злоумышленника, сумевшего разместить между клиентом и сервером собственныйкомпьютер. Если его машине удастся предстать перед клиентом в образе сервераPPTP, она сможет заполучить весь его трафик. Уязвимость для подобных атаксвойственна не только продуктам Microsoft, – подобная опасность существует прилюбой системе аутентификации, где не предусмотрен взаимный обмен запросами иответами на них. Такую возможность полностью исключает лишь применениепротокола MS-CHAP 2, обеспечивающего взаимную аутентификацию участников сеансасвязи.
Шифрование по протоколу MPPE с 128- и 40-битовым ключом полностьюзащищает все данные, циркулирующие между клиентом и сервером. А это значит, чтодаже вклинив между ними свой компьютер, злоумышленник не сможет прочестьпередаваемую информацию – для этого ему сначала придется заполучить секретныйключ.
В основу протокола PPTP положен алгоритм шифрования RSA RC4, которыйобеспечивает самую высокую стойкость, разрешенную правительством США длякоммерческих систем. В Северной Америке шифровать сообщения можно посредствомключа длиной 128 бит, в других же странах его длина не может превышать 40 бит.При использовании протокола MS-CHAP 2 для связи в прямом и обратном направлениигенерируется два отдельных ключа, причем по умолчанию эти ключи меняются припередаче каждого пакета. Все это еще более затрудняет «силовые» атаки на сеть.
3 Криптоанализ туннельного протокола PPTP
Обнаружено,что протокол аутентификации Microsoft слаб и уязвим путем атаки по словарю;большинство паролей можно вскрыть в течение нескольких часов. Обнаружено, чтоспособы шифрования с использованием 40- и 128-разрядных ключей одинаково слабыи открыли ряд заложенных в реализацию неразумных идей, которые позволяютосуществлять другие атаки на данный шифр. Можно открывать соединения черезfirewall, нарушая правила переговоров РРTР, и можем проводить различные атакиотказа в обслуживании на тех, кто использует Microsoft PPTP. 3.1 Криптоанализ функций хэширования паролей Windows NT
В ОСMicrosoft Windows NT для защиты паролей используются две однонаправленныехэш-функции: хэш Lan Manager и хэш Windows NT. Функция хэша Lan Manager быларазработана Microsoft для операционной системы IBM OS/2, она была интегрированав Windows for Workgroups и частично в Windows 3.1. Данная функция используетсяв некоторых протоколах аутентификации перед Windows NT. Хэш Windows NT былразработан специально для ОС Microsoft Windows NT. Функция хэша Lan Managerоснована на алгоритме DES; Функция хэша Windows NT основана на одностороннейхэш-функции MD4. Обе эти функции используются во многих протоколахаутентификации Windows NT, а не только в РРТР.
Функция хэшаLan Manager вычисляется следующим образом:
· Превращениепароля в 14-символьную строку путем либо отсечки более длинных паролей, либодополнения коротких паролей нулевыми элементами.
· Заменавсех символов нижнего регистра на символы верхнего регистра. Цифры испециальные символы остаются без изменений.
· Разбиение14-байтовой строки на две семибайтовых половины.
· Использованиекаждой половины строки в роли ключа DES, шифрование фиксированной константы спомощью каждого ключа, получение двух 8-байтовых строк.
· Слияниедвух строк для создания одного 16-разрядного значения хэш-функции.
Словарныеатаки на функцию хэша Lan Manager легко достигают успеха по следующим причинам:
· Большинстволюдей выбирают легко угадываемые пароли.
· Всесимволы преобразуются в верхний регистр, что ограничивает и без того небольшоечисло возможных паролей.
· Нетиндивидуальной привязки (salt); два пользователя с одинаковыми паролями всегдабудут иметь одинаковые значения хэш-функции. Таким образом, можно заранеесоставить словарь хэшированных паролей и осуществлять поиск неизвестного пароляв нем. При таком подходе с точки зрения отношения время/память тестированиепароля может выполняться со скоростью дискового ввода/вывода.
Двесемибайтовых «половины» пароля хэшируются независимо друг от друга.Таким образом, две половины могут подбираться методом грубого подборанезависимо друг от друга, и сложность атаки не превышает сложности атаки противсемибайтового пароля. Пароли, длина которых превышает семь символов, несильнее, чем пароли с длиной семь символов. Кроме того, те пароли, длинакоторых не превышает семь символов очень просто распознать, поскольку втораяполовина хэша будет одной и той же фиксированной константой: шифрованиефиксированной константы с помощью ключа из семи нулей.
Функция хэшаWindows NT вычисляется следующим образом:
· Преобразованиепароля, длиной до 14 символов, с различением регистров в Unicode.
· Хэшированиепароля с помощью MD4, получение 16-символьного значения хэш-функции.
Хэш WindowsNT обладает преимуществом по сравнению с функцией хэша Lan Manager — различаются регистры, пароли могут быть длиннее 14 символов, хэширование пароляв целом вместо разбиения его на маленькие части — хотя по-прежнему отсутствуетиндивидуальность. Таким образом, люди, имеющие одинаковые пароли, всегда будутиметь одинаковые хэшированные пароли Windows NT. Сравнение файла хэшированныхпаролей с заранее рассчитанным словарем хэшированных паролей может быть весьмаэффективной атакой.
Кроме того, болеесерьезна проблема реализации существенно облегчает раскрытие паролей. Даже хотяхэш Lan Manager был включен по соображениям совместимости с предыдущимиверсиями, и не требуется в сетях Windows NT, оба значения хэш-функций всегдапередаются вместе. Следовательно, можно выполнить грубый подбор пароля спомощью более слабой хэш-функции Lan Manager и затем выполнить тестирование сучетом регистра для подбора значения хэш-функции Windows NT. 3.2 Криптоанализ MS-CHAP
РРР содержитразличные способы обработки аутентификации. Одним из способов является протоколаутентификации вызов-рукопожатие (СНАР). Реализация PPP СНАР компаниейMicrosoft (MS-CHAP) почти совпадает с методом аутентификации, используемым дляаутентификации клиентов в Windows-сетях.
MS-CHAPфункционирует следующим образом:
· Клиентзапрашивает вызов сетевого имени.
· Сервервозвращает восьмибайтовый случайный вызов.
· Клиентвычисляет хэш-функцию Lan Manager, добавляет пять нулей для создания21-байтовой строки и делит строку на три семибайтовых ключа. Каждый ключиспользуется для шифрации вызова, что приводит к появлению 24-разрядногошифрованного значения. Оно возвращается серверу как отклик. Клиент выполняет тоже самое с хэш-функцией Windows NT.
· Серверищет значение хэш-функции в своей базе данных, шифрует запрос с помощьюхэш-функции и сравнивает его с полученными шифрованными значениями. Если онисовпадают, аутентификация заканчивается.
Сервер можетвыполнять сравнение по хэш-функции Windows NT или по хэш-функции Lan Manager;результаты должны совпадать. Хэш, используемый сервером, зависит от конкретногофлага в пакете. Если флаг установлен, то сервер выполняет тестирование спомощью хэш-функции Windows NT; в противном случае тестирование выполняется спомощью хэш-функции Lan Manager.
Протоколвызова/отклика является стандартным; использование случайного вызова имениделает невозможными словарные атаки на MS-CHAP и файл записанных хэш-функций отпаролей. В то же время, поскольку даже в Windows NT-сетях используются обазначения хэш-функции, можно в каждом случае атаковать более слабую хэш-функциюLan Manager. Поскольку ответ клиента разбит на три части, и каждая частьшифруется независимо от других, можно атаковать сам протокол MS-CHAP.
Последниевосемь байт хэш-функции Lan Manager представляют собой константу в том случае,если длина пароля не превышает семи символов. Это верно, несмотря на случайныйвызов. Следовательно, последние восемь байт отклика клиента будут представлятьсобой вызов, зашифрованный с помощью данной константы. Легко проверить, непревышает ли длина пароля семи символов. После того, как атакующий находитзначение хэш-функции Lan Manager, он может использовать эту информацию длявосстановления хэш-функции Windows NT.
Атака можетбыть существенно ускорена за счет активного использования предварительныхвычислений и тщательного исследования слабостей хэш-функции Lan Manager ипротокола MS-CHAP. Далее приводятся подробности оптимизированной атаки:
Р0-Р13 — байты пароля. Н0-Н15 — байты хэш-функции Lan Manager, которая преобразуется в21-байтовый ключ К0-К20. S- фиксированная константа, используемая в хэш-функцииLan Manager. Вызов С и 24-байтовый отклик Ro-R23. Злоумышленник может знать C иR и хочет найти Р.
1) Можнопопробовать все возможные комбинации К14, К15. Правильное значение выделяется,когда С превращается в R16, ..., R23 с ключом К14, К15, 0,0,0,0,0. На этоуходит примерно 215 операций.
2) Можнопопробовать вероятные значения Р7,..., Р13. Неверные значения можно быстроотбросить путем шифрования S и проверки совпадения последних двух байтполученного значения с К14 и К15. (Так остается только один вариант из каждых216). Каждый оставшийся вариант Р7,..., Р13 предоставляет значение-кандидат дляК8,..., К13. Чтобы проверить значение-кандидат, проверьте все возможные значенияК7, чтобы увидеть, есть ли такое, при котором С шифруется в R8,...,R15 призначении-кандидате К8,..., К15. Если есть такое К7, то догадка для Р7,..., Р13почти наверняка верна. Если нет, то надо выбрать другое значение для Р7,..., Р13.Если существуют N вероятных вариантов Р7,..., Р13, то подбор верного значенияможно провести за N тестовых шифрований.
Поскольку в протоколе нет индивидуальной настройки, эта атака может бытьсущественно ускорена с помощью замены время/память. Если есть N заранеевычисленных тестовых шифрований, то восстановление верного значения Р7,..., Р13потребует N/216 операций.
Посленахождения Р7,..., Р13, восстановление Р0,..., Р6 требует М попыток, где М — число вероятных значений Р0,..., Р6. Опять же, поскольку нет индивидуальнойнастройки, атака может быть выполнена за N/28 попыток при М предварительновычисленных значениях.
Кроме того,данный протокол позволяет выполнить аутентификацию только клиента. Атакующий,выполняющий подмену соединения, может тривиально замаскироваться под сервер.Если шифрование разрешено, атакующий не сможет посылать и принимать сообщения(пока не взломает шифр), однако используя старое значение вызова он сможетполучить две сессии текста, зашифрованные одним ключом (см. атаки далее). 3.3 Криптоанализ МРРЕ
Протоколшифрования в одноранговых сетях (МРРЕ) обеспечивает методологию для шифрованияпакетов РРТР. Он предполагает существование секретного ключа, известного обоимучастникам соединения, и использует поточный шифр RC4 с 40- либо 128-разряднымключом. Такой метод установки использования МРРЕ является одной из функцийпротокола управления сжатием РРР (ССР). После установки режима работыначинается сеанс РРР по передаче пакетов зашифрованных данных. Важно отметить,что шифруются только те пакеты РРР, номера протоколов которых лежат в диапазоне0x0021-0x00fa. Все остальные пакеты передаются без шифрования, даже еслишифрование разрешено. Типы пакетов, шифрование которых осуществляется/неосуществляется, регламентируются документом RFC 1700. Для любых пакетов необеспечивается аутентификация.
В МРРЕ40-битовый ключ RC4 определяется следующим образом:
· Генерацияопределяющего 64-битового ключа из хэш-функции Lan Manager пароля пользователя(известного пользователю и серверу) с помощью SHA.
· Установкастарших 24 бит ключа в значение 0xD1269E.
128-битовыйключ RC4 определяется следующим образом:
· Объединениехэша Windows NT и 64-битового случайного значения, выданного сервером приработе по протоколу MS-CHAP. Данное число посылается клиенту по протоколуобмена, потому оно известно и клиенту, и серверу.
· Генерацияопределяющего 128-битового ключа из результатов предыдущего этапа с помощьюSHA.
Результирующийключ используется для инициализации RC4 обычным способом, а затем дляшифрования байт данных. После каждых 256 пакетов — МРРЕ поддерживает счетчик, вкотором фиксируется число пакетов — генерируется новый ключ RC4 по следующимправилам:
· Генерацияопределяющего ключа — 64-битового для 40-битового шифрования и 128-битового для128-битового шифрования — путем хэширования предыдущего ключа и исходного ключас помощью SHA.
· Еслитребуется 40-битовый ключ, то установка старших 24 бит ключа в значение0xD1269E.
· Длинатипичного пакета РРТР составляет 200 байт, включая заголовок.
При потересинхронизации происходит реинициализация RC4 с использованием текущего ключа.Существует также возможность обновления ключа RC4 после каждого пакета; этавозможность снижает эффективность шифрования примерно наполовину, поскольку навыполнение плановых изменений ключа RC4 требуется время. 3.3.1 Восстановление ключа
В МРРЕстепень защиты ключа не превышает степень защиты пароля. Большая часть паролейимеет существенно меньше 40 бит безопасности и раскрываются с помощью словарныхатак. Хэш-функция Lan Manager еще боле уязвима: с учетом максимальной длиныпорции, ограниченного алфавита и отсутствия символов нижнего регистра,невозможно сгенерировать 128-битовый ключ, даже если пользователь хочет этосделать. В документации по МРРЕ описывается флаг для вычисления 40-битовогоключа RC4 на основании хэш-функции Windows NT, а не Lan Manager, но эта функцияеще не реализована. Нет способов вычисления 128-битового ключа RC4 на основаниихэш-функции Windows NT, хотя такой вариант был бы более безопасным (хотясущественно менее безопасным, чем 128-битовый случайный ключ.)
В любомслучае, общая степень защиты составляет не 40 или 128 бит, а количество битэнтропии пароля. На основании экспериментальных данных получено, чтоанглийскому языку свойственна энтропия 1,3 бита на символ. Изменения регистра,цифры и специальные символы существенно повышают это значение. Любая атака,которая использует словарь слабых паролей, может быть способна прочитатьзашифрованный МРРРЕ трафик. Кроме того, стилизованные заголовки в пакете РРРоблегчают сбор известных текстов и базы для проверки угаданного ключа.
40-битовыйалгоритм RC4 подвержен более серьезным уязвимостям. Поскольку не предусмотренаиндивидуальная настройка, атакующий может подготовить словарь зашифрованныхзаголовков РРР, а затем быстро найти данный зашифрованный текст в словаре. Припоиске мест в пакетах МРРЕ, где может содержаться незашифрованный текст,атакующий может воспользоваться множеством связей по SMB и NetBIOS, которыепроисходят при стандартных соединениях Microsoft.
Более того,тот же 40-битовый ключ RC4 генерируется всякий раз, когда пользовательинициализирует протокол РРТР. Поскольку RC4 представляет собой способшифрования с обратной связью по выходу, то просто взломать шифр за два сеанса.Серьезная уязвимость отмечается в большей части свежих спецификаций МРРЕ, хотяона исчезла из предыдущей версии. Ни в одной версии документации Microsoft неуказано, что один и тот же ключ используется как в прямом, так и в обратномнаправлении, что гарантирует, что для шифрования двух разных текстовиспользуется один и тот же поток ключей.
128-битовыйRC4 использует в процессе генерации ключей 64-битовую случайную величину. Такойподход делает непрактичной словарную атаку. По-прежнему, метод грубого подборапароля более эффективен, чем метод грубого подбора пространства ключей.Случайное число также означает, что для двух сессий с одним паролем будутиспользованы разные 128-битовые ключи RC4, хотя для шифрования текста в обоихнаправлениях будет использован один и тот же ключ. 3.3.2 Атаки переворота битов
RC4 — способпоточного шифрования с обратной связью по выходу, при этом не обеспечиваетсяаутентификация потока шифрованного текста. Поскольку в МРРЕ не предусмотренодругого способа аутентификации, атакующий может незаметно менять значения бит вшифре. Если протокол нижнего уровня чувствителен к изменению значенияконкретных бит — разрешение/запрещение каких-либо функций, выбор вариантов,сброс параметров — эта атака может быть достаточно эффективна. Обратитевнимание, для проведения этой атаки атакующему не надо знать ключ шифрованияили пароль клиента. Конечно, такие атаки могут обнаруживаться илипредотвращаться протоколами верхнего уровня. 3.3.3 Атака путемресинхронизации
Если впроцессе передачи теряется пакет, либо приходит пакет с неверным номером взаголовке МРРЕ, то происходит ресинхронизация ключа. Сторона, принявшаяневерный пакет, посылает отправителю запрос на ресинхронизацию. По принятиюданного запроса, отправитель реинициализирует таблицы RC4 и устанавливает бит«сброшен» (flushed) в заголовке МРРЕ. Если система обнаруживает впакете установленный бит «сброшен», она реинициализирует свои таблицыRC4 и устанавливает счетчик пакетов в соответствии с полученным значением.
Так создаетсяпроблема, когда атакующий может либо подавать запросы на ресинхронизацию, либовбрасывать пакеты МРРЕ с неверными значениями счетчика пакетов. Если выполнятьэто постоянно перед обменом 256-м пактом, когда происходит смена сеансовогоключа, то атакующий может добиться успеха — сеансовый ключ не будет изменен. 3.4 Другие атаки на MS-PPTP
Несмотря нато, что атаки на протоколы MS-CHAP и МРРЕ приводят к полному отрицаниюполезности и безопасности MS PPTP, необходимо упомянуть о нескольких интересныхатаках.3.4.1Пассивный мониторинг
Потрясающееколичество информации можно получить, если просто наблюдать за трафиком сеансаРРТР, передаваемым по сети. Такая информация бесценна для анализа трафика, ееследует защищать. Тем не менее, сервер выдает всем желающим такие сведения, какмаксимальное количество доступных каналов. Эту информацию можно использоватьдля установки соответствующего размера сервера РРТР и контроля его нагрузки.Если атакующий регулярно передает пакеты PPTP_START_SESSION_REQUEST, то онможет наблюдать создание новых соединений и закрытие существующих соединений.Таким способом атакующий может собрать информацию о системе и шаблонах ееиспользования, при этом ему не нужно быть рядом.
Путемустановки стандартных средств просмотра и расшифровки общественных линий связиот серверов Microsoft PPTP была получена следующая информация:
IP-адресклиента
IP-адрессервера
Количестводоступных на сервере виртуальных каналов РРТР
Версия RASклиента
Имя клиентаNetBIOS
Идентификацияпроизводителя клиента
Идентификацияпроизводителя сервера
IP-адресклиента во внутреннем виртуальном туннеле
ВнутренниеDNS-сервера, обслуживающие клиента
Имяпользователя на клиенте
Достаточноинформации для получения значений хэш-функций паролей пользователей
Достаточноинформации для получения начального значения МРРЕ
Текущеезначение шифрованного пакета для клиента перед реинициализацией RC4
Текущее значениешифрованного пакета для сервера перед реинициализацией RC4
В любом случае, когда канал связи шифруется и пользовательпредполагает некоторый уровень конфиденциальности, перечисленная вышеинформация не должна быть доступна так легко. Для Microsoft PPTP нет легкогоспособа зашифровать эту информацию, поскольку утечки происходят вне канала,контролируемого МРРЕ. В некоторых случаях, эти пакеты представляют собойконфигурационные и установочные пакеты для шифрования в рамках МРРЕ, и онидолжны передаватьс до начала шифрования. Единственным решением являетсяшифрование канала управления или резкое уменьшение количества передаваемой понему информации. 3.4.2 Перехват переговоровРРР
Пакетыпереговоров РРР передаются до начала шифрования и после его окончания.Поскольку метод ресинхронизации ключей осуществляется с использованием пакетовРРР ССР, эти каналы связи не могут шифроваться таким же образом. Добавим, чтореальная аутентификация данных пакетов не выполняется. Этап конфигурацииполностью открыт для атаки.
Подменаконфигурационного пакета, описывающего DNS-сервер, позволяет направить всюсистему распознавания имен на ложный сервер имен.
Точно так же,подмена пакета, содержащего внутренний туннельный IP-адрес, позволяет обойтиfirewal, осуществляющие фильтрацию пакетов по правилам, поскольку клиент будетподключаться к внешним машинам из внутренней защищенной сети.3.4.3Потенциальные утечки информации на клиенте
КлиентWindows 95 не выполняет требуемую очистку буферов, и потому допускается утечкаинформации в сообщениях протокола. Хотя в документации РРТР сказано, что впакете PPTP_START_SESSION_REQUEST символы после имени компьютера ипроизводителя должны быть сброшены в 0х00, Windows 95 этого не делает.
080: 0000 6c6f 6361 6c00 0000 3e1e 02c1 0000 ..local...>.....
096: 0000 85c4 03c1 acd9 3fc1 121e 02c1 2e00 ........?.......
112: 0000 2e00 0000 9c1b 02c1 0000 0000 0000 ................
128: 0000 88ed 3ac1 2026 02c1 1049 05c1 0b00 ....:. &...I....
144: 0000 3978 00c0 280e 3dc1 9c1b 02c1 041e ..9x..(.=.......
160: 02c1 0e00 0000 121e 02c1 2e00 0000 2e00 ................
176: 0000 3dad 06c1 74ed 3ac1 1c53 05c1 9c1b ..=...t.:..S....
192: 02c1 041e 02c1 0e00 0000 121e 02c1 2e00 ................
208: 0000 ..
Выше показанысимволы, содержащиеся после имени компьютера и строки производителя. В байтах82-86 содержится имя компьютера, которое для клиента Windows 95 всегдаравняется «local». Байт 113 — то место, где должна содержаться строкапроизводителя. При просмотре аналогичного пакета Windows NT обнаружено, что всесимволы «мусора» сброшены в 0х00.
Существуеточевидная возможность утечки информации в зависимости от того, как и гдеиспользуются и размещаются структуры данных и что происходит на клиентской системе.Для оценки данной утечки информации необходимо провести дальнейший анализ кодаWindows 95. 3.5 Выводы
РеализацияРРТР от Microsoft уязвима с точки зрения реализации, и обладает серьезныминедостатками с точки зрения протокола. Протокол аутентификации имеет известныеуязвимости. Шифрование выполнено неверно, в данной реализации используетсяпоточный шифр с обратной связью по выходу, хотя более уместен был бы блоковыйшифр «шифр-блок-цепочка» (CBC). Чтобы связать слабую аутентификацию сплохим шифрованием Microsoft задала ключ шифрования как функцию от пароляпользователя вместо использования сильного алгоритма обмена ключами типаДиффи-Хеллмана или ЕКЕ. Наконец, канал управления не аутентифицируется и несильно защищен.
Криптоанализне подвергал сомнению протокол РРТР, но лишь реализацию протокола от Microsoft.Хотя Microsoft использует свои собственные расширения (MS-CHAP, МРРЕ, МРРС) вРРР секции РРТР, стандарт РРТР не требует этого. Производители могут включитьрасширения Microsoft в свои продукты по соображениям совместимости, но они необязаны ограничиваться их использованием и, наверное, реализуют болеебезопасные решения. Конечно, новые расширения для корректной работы должныподдерживаться как клиентом, так и сервером./>
4 Туннелирование попротоколу L2TP
Протокол L2TP (Layer 2 Tunneling Protocol – сетевой протоколтуннелирования канального уровня) сочетает в себе все лучшее из протоколов PPTPи L2F (Layer 2 Forwarding – пересылка данных на канальном уровне). L2F былпредложен в качестве протокола передачи для подключения по коммутируемымканалам связи. Используя его, серверы удаленного доступа инкапсулируютпоступающий трафик в кадры протокола РРР, а затем передают их по каналам ГВС насервер L2F, который, в свою очередь, удаляет упаковку пакетов и направляет их всеть получателя.
Протокол L2TP позволяет прокладывать туннели через любые среды,где возможны пакетно-ориентированные одноранговые подключения. В их число, вчастности, входят такие технологии региональных вычислительных сетей, как Х.25,Frame Relay и АТМ. Более того, в L2TP предусмотрена возможность соединения двухконечных точек несколькими туннелями.
При работе в IP-сетях протокол L2TP очень похож на PPTP. Здесьтуннель прокладывается между клиентом L2TP и сервером L2TP. При этом не имеетникакого значения, подключен ли клиент к сети (например, к ЛВС) постоянно илидля установления IP-подключения ему нужно сначала связаться по коммутируемомуканалу с сервером сетевого доступа (так подключаются через Интернет удаленныепользователи).
/>
Рисунок 3 – туннелирование с использованием L2TP
Как PPTP, так и L2TP прежде всего производят первичноеинкапсулирование данных по протоколу РРР, а затем добавляют в полученные пакетыдополнительные заголовки, необходимые для их пересылки через промежуточныесети. На этом этапе в работе PPTP и L2TP начинают проявляться некоторыеразличия.
PPTP способен пересылать пакеты толькочерез IP-сети, тогда как L2TP позволяет прокладывать туннели по любымпакетно-ориентированным средам, где возможна организация одноранговыхподключений. Благодаря этому пакеты L2TP могут пересылаться по IP-сетям (сиспользованием протокола UDP), по частным виртуальным каналам с ретрансляциейкадров Frame Relay, по виртуальным каналам Х.25 и по виртуальным каналам АТМ.
PPTP позволяет проложить между конечнымиточками виртуального канала только один туннель, а L2TP может соединить ихнесколькими.
L2TP поддерживает сжатие заголовков, какэто описано в проекте спецификации. Применение данной функции позволяетограничиться четырьмя дополнительными байтами в заголовке, тогда как PPTPдобавляет в него 6 байт.
В L2TP предусмотрена аутентификациятуннеля, которой нет в PPTP. Правда, когда в туннеле используется протоколIPSec, аутентификация на канальном уровне становится ненужной, так как и L2TP,и PPTP производят ее именно по протоколу IPSec.
При создании туннелей L2TP аутентификация производится спомощью тех же механизмов, что и в подключениях РРР. Функции шифрования исжатия нагрузки протокол L2TP унаследовал от РРР, но в него добавлены идополнительные возможности шифрования по протоколу IPSec, описанные в следующемразделе./>
5 Протокол безопасностиIP Security Protocol
Протокол IPSec поддерживаетаутентификацию, целостность данных и их шифрование на сетевом уровне. Длясоздания идеальной платформы, обеспечивающей безопасную связь с интранет илиИнтернетом, IPSec интегрируется со средствами безопасности, входящими в составWindows 2000 Server.
Для обеспечения безопасности всехпередач по протоколу TCP/IP с обеих сторон межсетевого устройства защитыорганизации в протоколе Microsoft Windows IP Security использованы принятые вкачестве отраслевых стандартов алгоритмы шифрования и комплексный подход куправлению безопасностью.
Поскольку средства безопасности WindowsIP Security размещены ниже транспортного уровня, администраторы сетей (ипроизводители программного обеспечения) могут уделить внимание и направить своиусилия на придание и координацию безопасности каждой отдельной программе.Используя Windows 2000 Server, администраторы сетей обеспечивают сильнуюзащиту для всей сети в целом, а приложения автоматически наследуют защитныемеры системы безопасности Windows 2000 Server. Поддержка шифрованияWindows IP Security распространяется также и на виртуальные частные сети(Virtual Private Networks – VPN).
Администраторы и менеджеры сетейвыигрывают от интеграции IPSec с Windows 2000 Server по несколькимпричинам, в том числе:
· Открытый промышленный стандарт – IPSec обеспечивает открытыйпромышленный стандарт в качестве альтернативы «доморощенному» способушифрования IP. Менеджеры сетей при этом получают выигрыш от получаемойфункциональной совместимости.
· Прозрачность – IPSec существует под транспортным уровнем, чтоделает его прозрачным для приложений и пользователей; а это означает, что приреализации IPSec в брандмауэре или маршрутизаторе нет необходимости вноситьизменения в сетевые приложения настольного ПК.
· Проверка прав доступа – Служба аутентификации предотвращаетвозможность перехвата данных при использовании неправильно объявленных данныхидентификации.
· Конфиденциальность – Службы конфиденциальности предотвращаютнесанкционированный доступ к уязвимым данным при передаче их междувзаимодействующими сторонами.
· Целостность данных – При передачах заголовки аутентификации IP иразличные коды аутентификации хеш-сообщений обеспечивают целостность данных.
· Динамический повторный ввод (с клавиатуры) – Динамическийповторный ввод во время непрерывной связи помогает противостоять попыткамнарушения защиты.
· Безопасные сквозные связи – Windows IP Security обеспечивает наличиенадежных, обозначаемых только конечными точками связей для пользователейчастной сети внутри одного домена или между любыми доменами, с которымиустановлены доверительные отношения на предприятии.
· Централизованное управление — Администраторы сетей пользуютсястратегией безопасности и фильтрами для обеспечения требуемых уровнейбезопасности для каждого пользователя, группы или выбираемой по другимкритериям. Централизованное управление уменьшает административные накладныерасходы.
· Гибкость –Протокол Windows IP Security дает возможностьраспространить политику обеспечения безопасности на все предприятие или наотдельную рабочую станцию./>/>
5.1 Разработка наоснове IPSecurity
Протоколбезопасности IP Security используетзаголовок аутентификации (authentication header – AH) и инкапсулированную нагрузку безопасности (an encapsulated security payload – ESP). Заголовок AH создаетконверт, обеспечивающий аутентификацию источника данных, их целостность изащиту от навязывания повторных сообщений (см. рис. 1).
/>
Рисунок 4 — Форматзаголовка AH
Такимобразом, протокол AH предоставляет ряд мер защиты от атак злоумышленников. Сего помощью аутентифицируется каждый пакет, что делает программы, пытающиесяперехватить управление сеансом, неэффективными.
Помимо этого протокол AH обеспечивает,насколько это возможно, аутентификацию заголовков IP-пакетов, несмотря нанахождение IP-заголовков за пределами создаваемого им конверта. АутентификацияAH предотвращает манипулирование полями IP-заголовка во время прохожденияпакета. По этой причине данный протокол нельзя применять в среде, гдеиспользуется механизм трансляции сетевых адресов (Network Address Translation-- NAT), так как манипулирование IP-заголовками необходимо для его работы.
Протокол ESP обеспечиваетконфиденциальность данных (см. рис. 2) и выполняет все функции протокола AH позащите зашифрованных неаутентифицируемых потоков данных.
/>
Рисунок 5 — Форматзаголовка ESP
СпецификацияIPSec допускает работу протокола ESP без использования функций AH. В протоколеESP можно использовать фиктивное шифрование, что эквивалентно применениюпротокола AH без аутентификации IP-заголовка. Это позволяет включать в работумеханизм NAT, поскольку в этом случае адреса в заголовках можно модифицировать.
Протоколы ESP и AH зарегистрированы организацией IANA (InternetAddress Naming Authority) и занесены в реестр протоколов под порядковыминомерами 50 и 51 соответственно. Если на пограничных маршрутизаторах ужереализованы какие-либо базовые правила фильтрации пакетов, то необходимодобавить эти два протокола к списку разрешенных протоколов. Поскольку поле«тип протокола» заголовка IP-пакета теперь будет соответствоватьконверту IPSec, то первоначальный тип транспортного протокола помещается вследующее поле «тип протокола» внутри заголовка IPSec (см. рис. 3).
/>
Рисунок 6 -Инкапсуляцияпротоколов
ПротоколIPSec можно использовать как в транспортном, так и в туннельном режиме. Впервом случае заголовок IPSec размещается между сетевым (IP) и транспортным(TCP или UDP) заголовками обычного IP-пакета. Транспортный режим разработан дляприменения на оконечных системах. Работа в этом режиме отражается на всехвходящих в группу системах и в большинстве случаев требуетсяперепрограммирование приложений.
Туннельныйрежим IPSec применяется на шлюзах. При работе в этом режиме обычные IP-пакетыпомещаются в конверт IPSec, а тот, в свою очередь помещается в другой IP-пакет.Этот режим позволяет быстро развернуть туннельные IPSec-устройства по периметрусети. Обеспечение безопасности трафика между сконфигурированными таким образомсетями — дело весьма простое, не требующее разработки новых приложений илиспециальных пользовательских программных средств. ПО, обеспечивающее туннельныйрежим, может размещаться на шлюзе или оконечных системах.
На оконечныхсистемах туннельный режим наиболее часто применяется для поддержки удаленных имобильных пользователей. И хотя большая часть данных конечных пользователейпересылается шлюзами через туннели, транспортный режим используется на шлюзахдля защиты внутренних связей между одноранговыми шлюзами. Это может статьпрекрасным способом защиты удаленного управления маршрутизаторами,коммутаторами ATM, межсетевыми экранами и другими ключевыми компонентамиинфраструктуры сети.
Соединение попротоколу IPSec устанавливается однонаправленным соглашением по безопасности SA(Security Association), поэтому на каждое соединение требуется по дваSA-соглашения. Каждое из них определяет различные параметры IPSec-соединения,такие как алгоритмы шифрования и аутентификации, которые будут использованы приобмене информацией между системами, сеансные ключи шифрования и т. д.,управляющие их работой.
ПротоколWindows IP Security строится на основе модели IETF при совместном использованиикриптографии с открытым и секретным ключами и путем автоматического управленияключами для обеспечения максимальной секретности и высокой пропускнойспособности. Этим достигается сочетание аутентификации, целостности, защиты отнесанкционированного воспроизведения информации и (дополнительно)конфиденциальности, для обеспечения безопасной передачи информации. Посколькупротокол Windows IP Security находится ниже сетевого уровня, он прозрачен дляпользователей и существующих приложений, а организации автоматически получаютвысокие уровни безопасности сети./>/> 5.1.1 Полная поддержкапромышленных стандартов
Windows 2000дает возможность полностью использовать стандартные криптографические алгоритмыи методы аутентификации. Они включают следующие:
· МетодДиффи-Хеллмана (Diffie-Hellman) для соглашения о совместно используемом ключе.
· Кодаутентификации хеш-сообщения (HMAC) и его разновидности для обеспеченияцелостности и защиты от несанкционированного воспроизведения.
· Стандартшифрования данных ¾Цепочка цифровых блоков для обеспеченияконфиденциальности.
/>/>Метод Диффи-Хеллмана (Diffie-Hellman, DH)
МетодДиффи-Хеллмана (Diffie-Hellman, DH), названный так по именам своихизобретателей Whitfield Diffie и Martin Hellman, представляет собой алгоритмкриптографии с открытым ключом, который позволяет двум обменивающимсясообщениями сторонам договариваться о совместно используемом ключе. МетодДиффи-Хеллмана начинается с обмена общедоступной информацией между двумяобъектами. Затем каждый объект объединяет общедоступную информацию, полученнуюот другого объекта, со своей собственной секретной информацией для получениясовместно используемого секретного значения.
/>/>Код аутентификации хеш-сообщения (HMAC)
HMACпредставляет собой алгоритм с секретным ключом, обеспечивающий целостность ивозможность аутентификации. Аутентификация, использующая случайные вводимые склавиатуры данные, приводит к созданию цифровой сигнатуры пакета, правильностькоторой может быть подтверждена на принимающей стороне. Если при передачесообщение было изменено, то значение хеш-функции изменится и IP-пакет будетотвергнут./>/>HMAC-MD5
Дайджест-функциясообщения 95 (Message Digest function 95 – MD5) представляет собой хеш-функцию,формирующую 128-битовое значение./>/>HMAC-SHA
Алгоритмхеш-безопасности (Secure Hash Algorithm – SHA) представляет собой хеш-функцию,формирующую 160-битовое значение. Хотя алгоритм HMAC-SHA несколько медленнее,чем HMAC-MD5, он обеспечивает большую безопасность./>/>DES-CBC
Стандартшифрования данных (Data Encryption Standard – DES) – Цепочка цифровых блоков(CBC) представляет алгоритм секретного ключа, служащий для обеспеченияконфиденциальности. Для шифрования данных используется случайное число исекретный ключ. Алгоритм шифрования DES с явно заданным вектором инициализации(Initialization Vector — IV) применяют в протоколе ESP по умолчанию. Оннеобходим для обеспечения IPSec-совместимости. В качестве альтернативы DESопределены следующие алгоритмы: Triple DES, CAST-128, RC5, IDEA, Blowfish иARCFour.
Многиепользователи считают алгоритм CAST (стандарт RFC 2144) таким же стойким, какалгоритм Triple DES с 128-битовым ключом. Кроме того, он быстрее чем DES. RC5(стандарт RFC 2040) — алгоритм шифрования потока данных, использующий ключпеременной длины. Стойкость RC5 зависит от длины ключа, которая может достигать256 бит. Алгоритм IDEA (International Data Encryption Algorithm)рассматривается как «быстрый» эквивалент Triple DES. Еще однималгоритмом, использующим ключ переменной длины, является Blowfish. Это тоже«крепкий орешек», над которым долгое время будут трудитьсязлоумышленники. Последний алгоритм, ARCFour, является общедоступной версиейалгоритма RC4.
Выборалгоритма, кроме обязательного DES, целиком зависит от разработчика.Возможность выбора алгоритма шифрования предоставляет ему дополнительноепреимущество: злоумышленник должен не только вскрыть шифр, но и определить,какой именно шифр ему надо вскрывать. Вместе с необходимостью подбора ключей,это, скорее всего, оставит ему слабую надежду на своевременную расшифровкуваших данных.
/>/>5.1.2 Поддерживаемыестандарты и ссылки
Все протоколы, опубликованные группой IETF, полностьюподдерживаются и используются Windows 2000. Они реализуются согласнопоследним предварительным сообщениям IEFT, предложенным рабочей группой IPSec,которые, дополнительно к предварительным документам ISAKMP/Oakley, включаютдокументы по общей архитектуре и документы, определяющие форматы заголовка ипреобразований.
Системабезопасности IP Windows 2000 реализует протокол Ассоциации безопасностиИнтернета и управления ключами (Internet Security Association/Key ManagementProtocol – ISAKMP), используя протокол определения ключа Oakley, которыйдопускает динамическое повторное использование ключа.
Протоколы безопасности выполняют различные сервисные действия дляобеспечения безопасных передач в сети. В Windows 2000 используютсяследующие протоколы безопасности:
· Протокол Ассоциации безопасности Internet и управления ключами (InternetSecurity Association / Key Management Protocol)
· Протоколопределения ключа Oakley
· Заголовокаутентификации IP
· Протоколинкапсулированной безопасности IPПротокол ISAKMP/Oakley
Заданиеалгоритмов IPSec — дело непростое, для этого требуется протокол управлениясеансом. Протокол ISAKMP (Internet Security Association Key ManagementProtocol) является рамочной основой для такого протокола, а протокол Oakley — это уже конкретная реализация его на этой основе, предназначенная для совместногоиспользования с IPSec.
ПротоколOakley имеет более широкий набор функциональных возможностей, чем необходимодля управления IPSec-сеансами. Реализация ISAKMP/Oakley представляет собойфункциональное подмножество, достаточное, чтобы обеспечить безопасный способсообщения аутентификационных данных для генерации ключей и SA-параметров. Обменпо протоколу ISAKMP/Oakley происходит в двух режимах (фазах): основном ибыстром. В соответствии с протоколом Oakley, обмен начинается в основном ипродолжается в быстром режиме. В первом режиме устанавливаются соглашения SAдля обмена данными по протоколу Oakley, а во втором — по протоколу IPSec.
На один обменв основном режиме может приходиться несколько обменов в быстром, так как времясуществования SA-соглашения для протокола Oakley может быть более длительным,чем для протокола IPSec. Благодаря ограниченному сроку существованияSA-соглашений комбинирование в сеансе основного и быстрого режимов обеспечиваеточень мощный защитный механизм обмена ключами.
Обмен ключамив основном режиме осуществляется по методу Диффи-Хелмана (D-H), который требуетинтенсивного использования вычислительных ресурсов. Этот метод являетсямеханизмом распределения открытых ключей для безопасного обмена секретнойинформацией без применения какой-либо информации, заранее известной обеимсторонам. Поэтому им активно пользуются для установления безопасных сеансовсвязи в тех случаях, когда необходима динамическая защита и когда оконечныесистемы не принадлежат одной и той же системе административного управления.Например, метод D-H можно использовать в электронной коммерции при установлениисоединения для передачи транзакций между двумя компаниями.
Хотя этотметод и требует больших вычислительных ресурсов, при его применении возможенкомпромисс между криптостойкостью алгоритма (при использовании менее длинныхоткрытых ключей) и необходимым объемом вычислений. Обмен ключами в быстромрежиме не требует большого объема вычислений, так как здесь используется наборпростых математических операций. Существует ограничение допустимого числабыстрых фаз, превышение которого ведет к тому, что ключи, сгенерированные восновной фазе, а затем используемые в быстрых фазах, окажутся под угрозойвскрытия.
В основномрежиме оба участника обмена устанавливают SA-соглашения для безопасного общениядруг с другом по протоколу Oakley. В быстром режиме SA-соглашенияустанавливаются уже «от лица» протокола IPSec или любой другойслужбы, которой необходимы данные для генерации ключей или согласованияпараметров.
Протокол ISAKMP/Oakley не был специально разработан длясовместного использования с протоколом IPSec, поэтому возникает необходимость втак называемой области интерпретации (Domain Of Interpretation — DOI), котораяобеспечила бы совместную работу протоколов IPSec и ISAKMP/Oakley. Чтобы другиепротоколы также могли использовать ISAKMP/Oakley, они должны иметь собственныеDOI-области. В настоящий момент таких областей для других протоколов несуществует, но ситуация может измениться на очередной конференции группы IETFили в том случае, если частный разработчик, например фирма Netscape, решитиспользовать этот механизм.
В основном режиме между сторонами согласуются методы шифрования,хэширования, аутентификации и так называемая группа D-H (их всего четыре),которая определяет криптографическую стойкость алгоритма открытогораспределения ключей. Первая группа D-H характеризуется высокой стойкостью ипозволяет использовать стандарт DES, в то время как для второй и третьей группследует применять Triple DES. Поскольку в основном режиме иногда требуетсяпередавать до шести пакетов, то, например, при использовании космическогосегмента с большой временной задержкой, DES лучше применять с более сильнойгруппой D-H. Тогда перед выполнением очередного основного режима, сопряженного синтенсивными вычислениями и обменом пакетами, удастся выполнить больше обменовв быстром режиме.
Когда SA-соглашение для обмена по протоколу Oakley устанавливаетсяв основном режиме, создается цепочка случайных битов, которую используют длягенерации ключей. Также определяется продолжительность (по времени иликоличеству переданных данных) «жизни» SA-соглашения Oakley и данныедля генерации ключей до того, как потребуется следующий обмен в основномрежиме.
Быстрый режим проще основного, и согласование SA для IPSecосуществляется с помощью трех пакетов. IPSec-ключи создаются посредствомпростых операций возведения в степень переданных в основном режиме данных. Вбыстром режиме согласуются также алгоритмы шифрования и сроки существования SAдля IPSec-сеансов.
Согласно этим срокам определяется, как скоро, в зависимости отвремени или объема переданных данных, потребуется новое согласование в быстромрежиме. Есть два разных срока существования SA-соглашения. Основной режимзадает его для протокола Oakley, а быстрый — для обмена по протоколу IPSec.
При генерации ключей в основном режиме сеанс можно принудительнопрервать на основании отзыва сертификата. Сертификаты оконечных узловиспользуются только во время основного режима. Таким образом, при аннулированииодного из сертификатов обмен прервется только в основном режиме. Временныеограничения, согласованные в основном и быстром режимах, значительно отличаютсядруг от друга и зависят от типа данных и транзакций, использующихIPSec-соединение. Для правильного определения этих ограничений с учетом, содной стороны, объема вычислений и нагрузки на сеть, а с другой — вероятностинарушения защиты данных, требуется некоторый анализ.
5.2 Туннелирование сприменением IPSec
Протокол IPSec (IP Security) создавался Целевой группойтехнической поддержки Интернета в качестве средства шифрования данных на всемпротяжении IP-канала связи. В разработке этого протокола, продолжавшейсянесколько лет, принимали участие лучшие специалисты в области сетевойбезопасности. Плодом их труда стала схема аутентификации и шифрованияIP-пакетов на индивидуальной основе, которая, как считается, обеспечиваетвысочайший уровень защиты информации. Правда, первоначально IPSecрассматривался исключительно в качестве средства защиты связи между отдельнымисетевыми элементами (в частности, трафика между маршрутизаторами Интернета), носегодня он находит более широкое применение в сетях, где каждомухост-компьютеру выделен собственный статический IP-адрес.
Главное внимание при разработке IPSec уделялось обеспечениюбезопасности в IP-сетях на сетевом уровне. Этот протокол хорошо интегрируется сфункциями безопасности Windows NT Server, благодаря чему может служитьидеальной платформой для защиты потоков информации, проходящих по интрасетям иИнтернету.
IPSec предназначен не для клиент-серверного туннелирования, а длязащиты туннелей между серверами и маршрутизаторами. Таким образом, он незаменяет протоколы PPTP и L2TP, а дополняет их. Совместное применение позволяетсочетать гибкость протоколов ВЧС канального уровня (PPTP и L2TP) с высочайшимуровнем безопасности, который обеспечивает IPSec.
IPSec описывает не только механизмы шифрования IP-трафика, но иформат IP-пакетов, передаваемых по IP-туннелям. Режим такой передачи обычноназывают туннельным режимом IPSec (IPSec Tunnel Mode). Туннель IPSec состоит изтуннельного клиента и туннельного сервера, которые настроены на применениепротокола IPSec, и механизма шифрования по согласованию (negotiated encryptionmechanism).
Безопасная передача IP-пакетов по частным и общедоступным IP-сетямв туннельном режиме IPSec достигается за счет инкапсулирования и шифрованиявсего IP-пакета с использованием механизма шифрования по согласованию (если оннеобходим). После этого зашифрованная информация инкапсулируется еще раз,снабжается нешифрованным заголовком и направляется через промежуточные сети натуннельный сервер. Получив такую дейтаграмму, туннельный сервер обрабатывает ееоткрытый IP-заголовок, удаляет его, а затем дешифрует содержимое и извлекаетисходный IP-пакет с полезной информацией. Далее пакет обрабатывается, какобычно, и направляется получателю.
В туннельном режиме IPSec поддерживается только IP-трафик, а всеоперации производятся на нижнем уровне IP-стека. Благодаря этому всевыполняемые здесь функции становятся доступны для приложений и протоколоввысшего уровня. Управление режимом производится в соответствии с политикойбезопасности – набором правил фильтрации пакетов, определяющих очередностьприменения механизмов шифрования и туннелирования, а также доступные методыаутентификации, распределенные по приоритетам. Как только появляется трафик,который нужно передать на другой конец туннеля, обе машины производят взаимнуюаутентификацию, после чего согласуют метод шифрования. Когда такие операциизавершены, весь трафик шифруется посредством выбранного механизма, а к каждомупакету прикрепляется заголовок туннелирования.
Аутентификация IPSec
Для аутентификации источника и проверки целостности нешифрованнойинформации протокол IPSec использует заголовок аутентификации и порядковыйномер пакета. В случае шифрования трафика IPSec обращается к помощи протоколашифрования дейтаграмм ESP (Encapsulating Security Payload — безопасное закрытие содержания). Применение IPSec предполагает,что секретный ключ известен только отправителю и получателю сообщения. Такимобразом, если данные аутентификации оказываются истинными, получатель делаетвывод, что они поступили от отправителя и не подверглись изменению в процессепересылки. 5.3 Пример передачи данных по протоколу IPSec
Пример иллюстрирует передачу данных от пользователяхост-компьютера A к пользователю компьютера B. В обоих компьютерах реализованабезопасность Windows IP Security.
/>
Рисунок 7 – передачаданных по IPSec
DirectoryService – Служба каталога
IP SecurityPolicy – Политика безопасности IP
Policy Agent– Агент безопасности
ISAKMP/OakleyService – Служба ISAKMP/Oakley
SANegotiation Key Exchange – Обмен ключами при безопасных переговорах
Application –Приложение
TransportLayer TCP/UDP – Транспортный уровень TCP/UDP
InternetLayer – Уровень Интернета
Encrypted IPpackets – Зашифрованные IP-пакеты
Напользовательском уровне процесс «засекречивания» IP-пакетов совершеннопрозрачен. Пользователь 1 запускает приложение, использующее протокол TCP/IP,например, FTP, и пересылает данные пользователю 2.
Политикабезопасности, назначенная администратором для компьютеров А и В, определяетуровень безопасности передачи информации между ними. Эти уровни воспринимаютсяагентом политики и передаются службе ISAKMP/Oakley и драйверу IPSEC. Дляустановления ключа и общего метода переговоров (безопасное соединение) службаISAKMP/Oakley каждого компьютера использует политику переговоров, связанную сприписанной политикой безопасности. Результаты политики переговоров ISAKMPмежду двумя компьютерами передаются драйверу IPSEC, использующему ключ дляшифрования данных. Наконец, драйвер IPSEC посылает зашифрованные данные вкомпьютер B. Драйвер IPSEC компьютера B расшифровывает переданные данные инаправляет их принимающей программе.
5.4 Преимущества инедостатки протокола L2TP/IPSec.
Преимущество решений на базе L2TP over IPSec заключается в том,что она соединяет развитые средства инкапсуляции трафика, предусмотренные вL2TP, с надежными функциями защиты данных протокола IPSec. К тому же обапротокола уже успели на практике проявить свои сильные стороны ипродемонстрировать способность к взаимодействию, а все сложности их реализацииложатся на плечи производителей, а не заказчиков. Протокол L2TP допускаетсжатие заголовков пакетов, так что это не существенно влияет на загруженностьтрафика, так как суммарный размер передаваемых пакетов возрастает всего на одинбайт.
К недостаткамможно отнести то, что схема L2TP over IPSec создает проблемы для пользователей,так как два протокола поддерживать сложнее, чем один. Кроме того, алгоритмам,заложенным в предварительном варианте спецификаций, недостает эффективности,поскольку идентификация пользователя на другом конце соединения производитсяуже после того, как соединение установлено. А если пользователь не прошел авторизациюна доступ к предоставляемым услугам, соединение будет разорвано. Применениепротоколов Internet Key Exchange (IKE) с заранее согласованными ключами требуетстатических IP-адресов, а это не позволяет работать по коммутируемым телефоннымлиниям. Определенные в рамках IPSec процедуры IKE предназначены длясогласования параметров защищенной передачи, включая используемый в ходе сеансаалгоритм шифрования данных, между участниками сеанса связи. Очевидно,применение статических адресов и заранее согласованных ключей устроит далеко невсех пользователей. Тем из них, кто работает через обычные аналоговые модемы,присваиваются динамические IP-адреса, а партнеры и клиенты компании, получающиедоступ в корпоративную экстрасеть, не могут заранее знать, какие ключи будутприменяться для обеспечения информационной безопасности.6 Сравнение протоколов PPTP и IPSec.
Point-to-PointTunneling Protocol (PPTP) и протокол IP Security (IPSec) допускают организациючастных сеансов связи поверх Internet и связывают удаленных пользователей икорпоративные сети защищенными каналами. Каждый протокол имеет свои достоинстваи недостатки, касающиеся безопасности данных и удобства развертывания.Безопасность PPTP противбезопасности IPSec
PPTP, разработанныйи популяризируемый компаниями Microsoft и U.S. Robotics, в первую очередьпредназначен для виртуальных частных сетей, основанных на коммутируемыхсоединениях. Протокол призван активизировать использование удаленного доступа,давая возможность пользователям устанавливать коммутируемые соединения сInternet-провайдерами и создавать защищенный туннель к своим корпоративнымсетям. В отличие от IPSec протокол PPTP изначально не предназначался дляорганизации туннелей между локальными сетями. PPTP расширяет возможности PPP —протокола, который специфицирует соединения типа точка-точка в IP-сетях. PPPшироко используется для организации доступа пользователей в общедоступную сетьInternet и частные корпоративные сети по коммутируемым или широкополосным соединениям.Поскольку PPP функционирует на уровне 2, соединение PPTP, которое инкапсулируетпакеты PPP, позволяет передавать не только IP-пакеты, но и IPX или NetBEUI. Сосвоей стороны, IPSec функционирует на уровне 3 и способен обеспечиватьтуннелированную транспортировку IP-пакетов.
Методшифрования, стандартным образом применяемый в PPTP, специфицируется на уровнеPPP. Обычно в качестве клиента PPP выступает настольный компьютер соперационной системой Microsoft, а в качестве протокола шифрования используетсяMicrosoft Point-to-Point Encryption (MРPE). Данный протокол основывается настандарте RSA RC4 и поддерживает 40- или 128-разрядное шифрование. Для многихприложений такого уровня шифрования вполне достаточно, хотя он и считаетсяменее надежным, нежели ряд других алгоритмов шифрования, предлагаемых IPSec, вчастности, 168-разрядный Triple-Data Encryption Standard (DES).
Вместе с тем,IPSec создавался в расчете на организацию безопасных туннелей через Internetмежду защищенными локальными сетями. Он предназначался для связи с удаленнымофисом, другой локальной сетью или бизнес-партнером.
IPSec такжеподдерживает соединения между удаленными пользователями и корпоративнымисетями. Аналогичным образом, Microsoft добавляет поддержку туннелирования междулокальными сетями для протокола PPTP в своем Routing and Remote Access Serverдля операционной системы Windows NT Server 4.0.
Что касаетсянадежности шифрования и обеспечения целостности данных, то IPSec — внеконкуренции. Протокол сочетает в себе управление ключами с поддержкойсертификатов стандарта X.509, целостности и защиты информации.
Более того,168-разрядный алгоритм Triple-DES — самый надежный вид шифрования, предлагаемыйв IPSec, — обеспечивает более высокий уровень защиты, нежели 128-разрядныйалгоритм RC4. Кроме того, IPSec позволяет выполнять шифрование и аутентификациюотдельных пакетов, а также предупредить так называемую «атаку посредника», прикоторой данные перехватываются третьей стороной, модифицируются и передаютсяполучателю.
PPTP уязвимдля подобных вторжений, в первую очередь потому, что он выполняетаутентификацию сеансов, а не отдельных пакетов. Однако осуществление подобной«атаки посредника» при PPTP-соединении требует значительных усилий инезаурядного мастерства.
Многимпредприятиям доступность PPTP на платформе Windows (протокол поддерживаетWindows NT, 95 и 98) помогает без особых проблем развертывать и поддерживатьвиртуальные частные сети. Другие же полагают, что PPTP обеспечивает менеенадежную защиту, чем IPSec.
Важно иметь в виду, что при развертывании виртуальной частной сетидля удаленных пользователей IPSec требует, чтобы в предприятие на каждуюнастольную систему было установлено специализированное клиентское программноеобеспечение. Установка и поддержка этого ПО требует намного больше усилий, чемразвертывание PPTP.
/>7 Протокол EAP
Протокол EAP (Extensible Authentication Protocol – расширяемыйпротокол аутентификации) представляет собой расширение для протокола РРР. Онсодержит стандартный механизм поддержки ряда методов аутентификации, включаяжетоны, протокол Kerberos, открытые ключи и секретные ключи S/Key. Этотмеханизм полностью поддерживается как серверами удаленного доступаWindows NT Dial-Up Server, так и сетевыми клиентами удаленного доступаDial-Up Networking Client. Протокол EAP является крайне важным компонентомбезопасных ВЧС, обеспечивающим защиту от силовых атак, подбора пароля пословарю и попыток угадать его.
Применение EAP расширяет возможности ВЧС на базе сервераудаленного доступа Windows NT Remote Access Service, позволяя производитьаутентификацию с помощью модулей независимых производителей. Реализация этогопротокола в среде Windows NT стала ответом Microsoft на многочисленные просьбыпользователей, которые не хотят отказываться от привычных аппаратных средствбезопасности.
Протокол EAP был предложен Целевой группой технической поддержкиИнтернета в качестве расширения для протокола РРР. Он содержит дополнительныемеханизмы аутентификации, необходимые для проверки РРР-соединений. Главнаязадача EAP состоит в динамическом подключении модулей аутентификации на обеих –клиентской и серверной – сторонах такого соединения. Этот протокол отличаетсяочень высокой гибкостью, обеспечивая уникальность и вариативностьаутентификации. Практическая реализация EAP включена в MicrosoftWindows 2000./>/>/> 7.1 Обеспечение безопасности на уровне транзакций
Очень высокий уровень безопасности ВЧС обеспечивается за счетприменения микропроцессорных карточек и жетонов аутентификации.Микропроцессорные карточки представляют собой миниатюрные устройства размером скредитную карточку со встроенными в них ЦПУ и небольшим объемом оперативнойпамяти. Сюда обычно заносятся данные, удостоверяющие личность пользователя(например, сертификаты открытого ключа), ключи шифрования и параметры учетнойзаписи. Некоторые из микропроцессорных карточек содержат также алгоритмшифрования, благодаря которому криптоключи никогда не передаются вовне. Всистемах обеспечения безопасности удаленного доступа микропроцессорные карточкисегодня используются довольно редко, так как их поддерживают лишь немногиепакеты такого типа. Ситуация должна измениться с появлением Windows 2000.Эта операционная система позволит применять такие карточки при самых различныхвидах аутентификации, включая RAS, L2TP иPPTP.
Жетоны аутентификации выпускаются различнымипроизводителями, каждый из которых закладывает в них собственный алгоритмработы. Но все они представляют собой ни что иное, как аппаратный генераторпаролей. Некоторые жетоны оснащаются миниатюрным жидкокристаллическим дисплееми клавиатурой, напоминая внешним видом калькуляторы. После того, какпользователь введет свой цифровой идентификационный номер, на экране дисплеяпоявляется секретный цифровой код, который выполняет функции пароля. Обычносекретный код носит уникальный характер и никогда не повторяется даже на данномустройстве. Жетоны аутентификации очень удобны для организации доступа покоммутируемым каналам (например, при работе со службой удаленного доступа), атакже для аутентификации хост-компьютеров. Сетевое применение таких жетонов,как правило, основано на клиент-серверных технологиях (либо построено по другимсхемам с применением паролей), поэтому не исключает перехвата передаваемойсекретной информации.
Поддержку жетонов аутентификации, как ипользовательских сертификатов с открытым ключом, обеспечит синтетическийпротокол EAP-TLS (Extended AuthenticationProtocol-Transaction Layer Security – расширяемый протокол аутентификации иобеспечение безопасности на уровне транзакций). Он уже представлен нарассмотрение Целевой группы технической поддержки Интернета в качестве проектаспецификации на метод аутентификации повышенной надежности с применениемсертификатов открытого ключа. При работе по схеме EAP-TLS клиент посылает насервер удаленного доступа пользовательский сертификат, а в ответ получает снего серверный сертификат. Первый из них обеспечивает надежную аутентификациюпользователя на сервере, а второй гарантирует, что клиент вступил в контактименно с тем сервером, который ему нужен. При проверке достоверности полученныхданных оба участника такого обмена полагаются на цепочку доверенных органов сертификации.
Сертификат пользователя может храниться непосредственно наклиентском ПК, с которого производится удаленный доступ, либо на внешнеймикропроцессорной карточке. В обоих случаях воспользоваться сертификатом можнотолько после идентификации пользователя, которая производится путем обмена тойили иной информацией (идентификационного номера, комбинации имени пользователяи пароля и т.д.) между пользователем и клиентским ПК. Такой подход в полноймере отвечает принципу программно-аппаратной защиты, рекомендуемомубольшинством экспертов в области безопасности связи.
EAP-TLS представляет собой, по сути, разновидность протокола EAP,реализованную в Windows 2000. Как и MS-CHAP, он служит для получениякриптоключа, который используется протоколом MPPE для шифрования всехпоследующих данных./>/> 7.2 Аутентификация с помощью службы RADIUS
RADIUS (Remote Authentication Dial-in User Service – службадистанционной аутентификации пользователей по коммутируемым линиям)представляет собой центральный сервер с базой данных аутентификации и служитдополнением к другим протоколам аутентификации запросов. В основу этой службыположены протокол UDP, обслуживающий протоколы РРР, РАР и CHAP, а также функциявхода в системы Unix и ряд других механизмов аутентификации. Кроме своегонепосредственного предназначения служба RADIUS позволяет также производить учетбюджета ВЧС.
Получив от сетевой службы аутентификации NAS запрос на подключениепользователя, сервер RADIUS сравнивает полученные данные с информацией из своейбазы данных. Здесь же находится и центральное хранилище параметров подключенийдля всех зарегистрированных пользователей. При необходимости сервер неограничивается простым ответом на запрос (ДА/НЕТ), а сообщает в NAS рядсведений относительно конкретного пользователя. В частности, он может указатьнаибольшее время сеанса, выделенный статический IP-адрес и информацию,позволяющую произвести обратный вызов пользователя.
Служба RADIUS может не только сама обращаться в свою базу данныхдля самостоятельной обработки запросов аутентификации, но и предоставлять еедругим серверам баз данных. В частности, ею может воспользоваться общийоткрытый сервер подключений сети или главный контроллер домена. Последний часторазмещается на том же компьютере, что и сервер RADIUS, хотя это и необязательно. Кроме всего прочего, сервер RADIUS может выполнять функцииклиента-представителя удаленного сервера RADIUS./>/> 7.3 Учет бюджета ВЧС с помощью службы RADIUS
Служба RADIUS позволяет осуществлять централизованноеадминистрирование и учет бюджета нескольких туннельных серверов. Большинствосерверов RADIUS можно настроить таким образом, чтобы они регистрировали запросына аутентификацию в специальном учетном файле. Спецификациями предусмотреннабор стандартных сообщений, которыми служба NAS уведомляет сервер RADIUS онеобходимости передавать учетную запись пользователя в начале каждого вызова, вего конце, либо повторять ее в процессе сеанса связи через заданные промежуткивремени. А независимые разработчики предлагают ряд пакетов биллинга и аудита,которые на основе учетных записей RADIUS генерируют различные аналитическиедокументы./>/> 7.4 Протокол EAP и RADIUS
Чтобы совместно использовать протокол EAP с сервером RADIUS,необходимо внести коррективы как в службу NAS, так и в службу RADIUS. Притрадиционной схеме аутентификации эти службы производят одну-единственнуютранзакцию, состоящую из запроса и ответа на него. Однако при аутентификации попротоколу EAP служба NAS не может самостоятельно собрать информацию о клиенте,необходимую для аутентификации на сервере RADIUS. Для решения этой проблемысистемный администратор может настроить службу NAS таким образом, что она будетнаправлять клиенту идентификатор, включив его в сообщение EAP. Тот в ответсообщит службе сетевой аутентификации данные об имени пользователя и домене.Служба NAS включает их в запрос EAP-start и в таком виде направляет на серверRADIUS. Дальнейший процесс аутентификации производится, как обычно: службаRADIUS передает клиенту через службу NAS сообщения EAP и отвечает на них до техпор, пока аутентификация не даст положительного (или отрицательного)результата./>
8 Шифрование
Безопасность ВЧС значительно повышается, когда шифруются не толькопакеты данных, но и пароли. Криптоключи данных, как уже отмечалось,генерируются на основе регистрационных данных пользователя и по каналам связине передаются. Когда аутентификация завершена и личность пользователяудостоверена, шифрование производится с помощью ключа аутентификации.
Протоколы PPTP и L2TP, как и лежащий в их основе РРР, допускаютприменение дополнительных протоколов шифрования и сжатия. В частности, дляповышения защищенности данных здесь может использоваться протокол IPSec,который поддерживается в реализации L2TP, выполненной Microsoft. При необходимостибезопасность информации в ВЧС можно обеспечить и с помощью другихкриптотехнологий./> 8.1 Симметричное шифрование (с личным ключом)
В основу симметричного шифрования (его также называют шифрованиемс личным ключом или обычным шифрованием) положен секретный ключ, известныйтолько участникам сеанса связи. Отправитель обрабатывает свое сообщение поспециальному математическому алгоритму с использованием секретного ключа,преобразуя тем самым его открытый текст в шифрованный. Получатель сообщения спомощью того же самого секретного ключа проводит обратную операцию, после чегополучает исходный открытый текст. Примером схемы симметричного шифрования могутслужить алгоритмы RSA RC4 (применяемый в протоколе MPPE), DES (Data EncryptionStandard – стандарт шифрования данных), IDEA (International Data EncryptionAlgorithm – международный алгоритм шифрования данных), а также технологияшифрования Skipjack, предложенная правительством США для микросхемы Clipper./>8.2 Асимметричное шифрование (с открытым ключом)
Для асимметричного шифрования (или шифрования с открытым ключом)каждый пользователь должен иметь два различных ключа. Один из них – секретный(личный) и известен только владельцу, а второй – открытый, который доступенвсем. Секретный и открытый ключи составляют пару, взаимосвязь между нимиопределяется специальным математическим алгоритмом шифрования. При такой схемеодин ключ используется для шифрования сообщения, а другой – для его дешифровки.Применение ключей определяется особенностями службы связи. Технологиишифрования с открытым ключом позволяют включать в сообщения цифровые подписи –блоки информации, закрытые с помощью секретного ключа автора сообщения.
При симметричном шифровании отправитель и получатель должны знатьобщий секретный ключ, поэтому приходится искать пути его предварительнойдоставки (с соблюдением мер предосторожности) обоим корреспондентам. Избежатьтакой проблемы помогает асимметричное шифрование. Здесь отправитель шифруетсвое сообщение или снабжает его цифровой подписью посредством собственногосекретного ключа, а дешифровка производится с помощью открытого ключа, которыйотправитель может свободно переслать любому своему корреспонденту. Такимобразом, при асимметричном шифрование приходится тщательно оберегать толькоодин ключ – секретный./> 8.3 Структурное и бесструктурное шифрование
Для правильного выбора схемы шифрования очень важно понятьразличия между структурным (stateful) и бесструктурным (stateless) шифрованием.
При бесструктурном шифровании каждый одиночный пакет являетсясамодостаточным и содержит всю информацию, необходимую для его дешифрования.Структурное шифрование, напротив, основано на том, что каждый последующий пакетсвязан с предыдущим (или предыдущими), и успешное дешифрование сообщениявозможно лишь в том случае, если у получателя имеется вся последовательностьпакетов.
Чтобы правильно выбрать тип шифрования, необходимо найтикомпромиссное решение, сбалансировав стойкость шифрования и производительностикриптосистемы в средах с высоким уровнем потерь (или в сетях, где нарушаетсяпоследовательность доставки пакетов). Бесструктурное шифрование позволяетдешифровать каждый пакет автономно, без какой-либо связи с предыдущими. Постойкости такой подход уступает структурному шифрованию, где не получивпредыдущего пакета, невозможно расшифровать последующий. Однако в последнемслучае достаточно одному-единственному пакету затеряться в сети – идешифрование всех пакетов, следующих за ним, станет невозможным. Это можетпривести к серьезному снижению производительности в сетях, где великавероятность потери пакетов или нарушения порядка их доставки.
Механизмы шифрования IPSec обычно опираются на методыбесструктурного шифрования, и тому есть веская причина: в IP-сетях простоневозможно гарантировать надежную пересылку всех пакетов. Их доставку безпотерь, и к тому же без нарушения последовательности, обеспечивает только прямоеподключение между узлами сети. Именно поэтому в основу протокола РРР,разработанного специально для таких сред, положен метод структурногошифрования./> 8.4 IPSec и бесструктурное шифрование
В протоколе IPSec предусмотрено шифрование каждого пакетаиндивидуально и независимо от его предшественников. Благодаря такой схемепотеря отдельного пакета приведет к утрате только той части информации, котораябыла заключена в нем, но нисколько не скажется на возможности дешифрованиядругих пакетов. В тех случаях, когда протоколы туннелирования канального уровня(такие, как PPTP и L2TP) передаются поверх IPSec, появляется возможность вместомеханизмов структурного шифрования РРР использовать механизмы бесструктурногошифрования IPSec.
Протокол IPSec создан на основе модели Целевой группы техническойподдержки Интернета, предусматривающей смешение криптографии открытых исекретных ключей. Автоматизирован здесь и процесс управления ключами, за счетчего удается добиться максимально возможного уровня безопасности при оченьвысокой производительности криптосистемы. Такая схема позволяет производитьаутентификацию, проверять целостность информации, предотвращать повторноеиспользование паролей, а также – при применении дополнительных средств –сохранять конфиденциальность данных, обеспечивая тем самым очень высокуюзащищенность канала связи. К тому же, протокол IPSec, реализованный корпорациейMicrosoft, работает ниже сетевого уровня и поэтому прозрачен для пользователей иприложений. Принимая его на вооружение, организации автоматически выходят накачественно новый уровень сетевой безопасности.
Практические реализации IPSec обычно поддерживают более широкийспектр алгоритмов шифрования, чем протоколы туннелирования канального уровня,где используется шифрование РРР. Однако такие протоколы можно передавать поверхIPSec, что позволяет шифровать туннельный трафик канального уровня посредствомвсех алгоритмов протокола IPSec./>
9 Фильтрация
Фильтрация служит еще одним мощным средством обеспечения сетевойбезопасности. Опираясь на нее, администратор может разрешить доступ ккорпоративной сети из Интернета только тем пользователям, которые прошлиаутентификацию в ВЧС. К тому же, отсеивание пакетов, не относящихся кпротоколам PPTP и L2TP, снижает риск атаки на корпоративную сеть через сервершлюза ВЧС. Пропуская поступающий трафик через фильтр, можно удалить из него всепакеты, не отвечающие заданным критериям (протоколам). В комбинации сшифрованием по протоколу РРР эта функция гарантирует, что поступить в частнуюЛВС и покинуть ее смогут только санкционированные шифрованные данные./> 9.1 Фильтрация на сервере маршрутизации и удаленного доступа ВЧС
Сервер R/RAS (Routing and Remote Access Server – сервермаршрутизации и удаленного доступа) не только производит маршрутизациюсообщений, но и выполняет целый ряд других функций. Так, он способенобслуживать удаленный доступ по коммутируемым каналам, поддерживает ВЧС,обеспечивает фильтрацию пакетов на отдельных портах. А в средеWindows 2000 этот сервер сможет работать с протоколом L2TP.
Разработчики сервера ВЧС R/RAS предусмотрели возможность установкифильтров PPTP и L2TP на входных портах туннельного сервера. Такая схемапозволяет блокировать все пакеты, не соответствующие критериям протоколов,которые установлены на сервере. В частности, в сеть могут пропускаться лишьпакеты, адресованные конкретному серверу, или те, исходные адреса которыхуказаны в список разрешенных IP-адресов отправителей. Может также проводитьсяпроверка подлинности адресов в частной сети отправителя и получателя,назначаемых туннельным сервером.
Допускается и фильтрация трафика на выходных портах туннельногосервера, которая отсеивает данные, исходящие из частной сети. Здесь, например,можно наладить проверку адресов получателей и их сопоставление со спискомразрешенных, который ведется на сервере R/RAS. Точно так же можно производитьпроверку адресов отправителей пакетов./> 9.2 Фильтрация IPSec
Протокол IPSec можно представить как еще один уровень, лежащийниже стека TCP/IP. Управление этим уровнем производится в соответствии сполитикой безопасности на каждом компьютере, учитываются и правила обеспечениябезопасности, согласованные отправителем и получателем сообщения. Политикабезопасности определяет как используемый набор фильтров, так и ассоциированныефункции безопасности (associated security behaviors). Если IP-адрес, протокол иномер порта, указанные в пакете, соответствуют критериям фильтрации, следующимэтапом становится проверка ассоциированных функций безопасности./> 9.3 ВЧС и брандмауэры
Брандмауэр представляет собой еще одно средство защитыкорпоративной сети. Этот компонент общей системы безопасности строго следит затем, какие данные могут быть пропущены из Интернета в частную сеть. Известнытри способа размещения брандмауэров в виртуальных частных сетях.
Туннельный сервер ВЧС может быть установлен перед брандмауэром,позади него или на одном компьютере с ним. Наиболее высокий уровень защитыдостигается при установке сервера перед брандмауэром. В среде Windows NTтуннель ВЧС настраивается таким образом, что в сеть проходят только пакетыPPTP. Пройдя фильтрацию, они разуплотняются, дешифруются и в таком видепоступают на брандмауэр, где их содержимое вновь подвергается фильтрации ианализу. Именно такая схема – установка сервера ВЧС перед брандмауэром –рекомендуется для применения в расширенных интрасетях, используемыхмногочисленными доверенными партнерами, и для защиты финансовых ресурсов.Впрочем, такой совет не универсален, окончательное решение следует принимать вкаждом конкретном случае отдельно.
Как уже отмечалось, брандмауэр можетустанавливаться и перед сервером ВЧС. При такой схеме серверу приходитсяанализировать гораздо больше пакетов, чем в описанной выше схеме. Кроме того,возникает опасность прохождения через брандмауэр несанкционированных пакетовPPTP: информация в них зашифрована и сжата, поэтому провести ее фильтрациюбрандмауэр не в состоянии. В этом случае возникает угроза неправомерногоиспользования сети служащими, которым предоставляется право доступа в нее.Причем такая внутренняя угроза превращается в повседневную, если служащийполучает возможность входить в ЛВС постоянно. Впрочем, подобную конфигурацию,как и связанный с ней риск, можно признать допустимыми для приложений,работающих в интрасетях и подобных им сетевых структурах.
И, наконец, третья схема, к которой могутприбегнуть организации с ограниченными ресурсами, – брандмауэр устанавливаетсяна одном компьютере с сервером ВЧС. При такой конфигурации машина направляетисходящий трафик ВЧС соответствующим получателям, а входящий – на расположенныйтут же брандмауэр для анализа. Такой способ является наиболее экономичным, иего вполне можно рекомендовать для применения в интрасетях и для связи впределах одной компании.
10 Выбор средств ВЧС
Абсолютная безопасность недостижима. Но точно так же нельзяполагать, будто существует абсолютная угроза безопасности. Виртуальные частныесети Microsoft на базе протокола PPTP с применением MPPE-шифрованияобеспечивают весьма надежную защиту.
Заложенная в Windows 2000 поддержка протокола L2TP, полнаязащита канала связи по протоколу IPSec, применение протокола EAP вмикропроцессорных карточках, сертификаты Kerberos – все это предоставляетсетевым администраторам богатейший выбор средств обеспечения безопасности,разработанных корпорацией Microsoft и рекомендуемых ею для развертываниявиртуальных частных сетей./> 10.1 Анализ угроз сетевой безопасности
Приступая к планированию виртуальной частной сети, сетевойадминистратор первым делом должен провести анализ угроз ее безопасности. Емунеобходимо выявить наиболее уязвимые места сети, оценить вероятность различныхвидов атак на нее и возможные последствия взлома системы защиты.
В ходе анализа следует также учесть, что может понадобиться длявнедрения той или иной системы. Скажем, развертывание полномасштабнойинфраструктуры шифрования IP Security может потребовать замены всех компьютеровс процессорами 486 и ранних Pentium, которые не способны удовлетворитьтребования к производительности ЦПУ. А ведь применение IPSec может статьнасущной необходимостью, если на серверах сети размещается конфиденциальнаяинформация и высока вероятность попыток их взлома. В таких условияхкапиталовложения в развертывание новой инфраструктуры будут вполнеоправданными. Те же организации, которые особого интереса для хакеров иконкурентов не представляют, могут вполне ограничиться ВЧС на базе PPTP, нетратясь на модернизацию оборудования.
Благодаря поддержке протокола EAP, заложенной в Windows 2000,компании могут взять на вооружение системы безопасности с микропроцессорнымикарточками и жетонами аутентификации. Каждый пользователь такой сети получаетнебольшое устройство размером с кредитную карточку, которое открывает емудоступ в сеть с любого компьютера. Правда, и здесь дополнительный уровеньзащиты приходится рассматривать через призму повседневных проблем реальногомира. Скажем, следует учитывать, что служащим свойственно забывать своимикропроцессорные карточки дома, а то и вообще терять их.
Неоднозначна и практическая оценка сертификатов Kerberos. Онисоздают дополнительную защиту сети и в ряде случаев без них просто не обойтись.Но неизбежно найдутся сетевые администраторы, которые не решатся взвалить насвои плечи такую сложнейшую задачу, как интеграция сети с инфраструктуройоткрытых ключей./> 10.2 Безопасность и требования к паролю
Простота развертывания и управления, дополненная высочайшимуровнем безопасности и шифрованием данных по протоколу MPPE, – вот что делаетвиртуальные частные сети Microsoft на базе протокола PPTP одной из самыхпопулярных сетевых сред. Конечно, каждому администратору приходитсясамостоятельно искать и находить именно ту систему, которая в наибольшейстепени отвечает требованиям, выработанным в ходе анализа угроз сетевойбезопасности. Однако большинство организаций, включая саму Microsoft, ужеубедились в том, что ВЧС на базе PPTP обеспечивают высочайший уровень защитыинформации и вполне подходят большинству компаний.
Аутентификацией по паролю, предусмотренной протоколом PPTP,управлять намного легче, чем системами на базе микропроцессорных карточек исертификатов, но здесь есть свои подводные камни. Чтобы добиться безопасностисвоей ВЧС на базе PPTP (в дополнение к сетевым ресурсам), администратору нужноразработать правила использования паролей, предусматривающие:
применение только паролей Windows NT;
использование сложных символьных последовательностей(перемежающихся в случайном порядке строчных и прописных букв, цифр, знаковпрепинания) и определение минимально допустимой длины пароля;
регулярную смену пароля.
Хорошо продуманная политика в области безопасности должна такжепредусматривать и практические меры, способствующие ее выполнению. К сожалению,приходится периодически напоминать пользователям даже о том, чтобы они недемонстрировали свой пароль окружающим, оставляя его на экране монитора.
10.3 Возможности реализацийVPN на различных версиях Windows. Windows 9x Windows NT Windows 2000 Работа в качестве клиента ВЧС + + + Работа в качестве сервера ВЧС - + + Поддержка протокола PPTP + + + Поддержка протокола L2TP - - + Необходимость дополнительной установки протоколов для работы с ВЧС + + - />
10.4Часто задаваемые вопросы при выборе средств VPN Есть ли различия вобеспечении безопасности удаленного доступа и доступа в ВЧС?
Конечно. Так, в виртуальных частных сетях ощущается гораздо большаяпотребность в шифровании. Здесь трафик проходит через Интернет, где вероятностьего перехвата гораздо выше, чем в телефонных каналах. Чтобы подслушатьтелефонный разговор, достаточно получить физический доступ к кабелю иликоммутатору телефонной компании. Конечно, бывает и так, хотя злоумышленникуприходится преодолевать значительные трудности. В Интернете же путь отPPTP-клиента к PPTP-серверу пролегает через множество промежуточных устройств(коммутаторов, серверов имен и так далее). А чем больше промежуточных звеньев,тем легче злоумышленнику проникнуть в одно из них, чтобы перехватить трафикданных или перенаправить его.
Немало найдется и таких хакеров, которые попытаются взломать сам серверВЧС, более уязвимый, чем сервер удаленного доступа по коммутируемым каналам.Это лишний раз подчеркивает важность аутентификации пользователей,подключающихся к серверу ВЧС, и необходимость применения надежных паролей./>Можно ли сказать, что ВЧСна базе IPSec безопаснее виртуальных сетей на базе PPTP?
Необязательно. Какой бы протокол ни применялся, безопасность ВЧС на его базезависит от многих аспектов практической реализации сетевых компонентов.Большинство современных реализаций IPSec поддерживают сертификаты открытогоключа и, теоретически, способны генерировать более стойкие ключи, чем механизмына базе общих паролей. Однако почти все они полагаются исключительно намашинные сертификаты и, следовательно, не производят аутентификациюпользователя. То есть, доступ здесь предоставляется не пользователю, а машине,– кто же работает за ней в данный момент, никому не известно. Стандартноетребование для доступа в ВЧС – обязательная проверка полномочий. Еслисопоставить все эти положения, то становится ясно: в тех случаях, когдаклиентский компьютер доступен более, чем одному пользователю, одних машинныхсертификатов для управления доступом недостаточно – это создает брешь в системеобеспечения безопасности./>Можно ли сказать, что ВЧСна базе L2TP безопаснее виртуальных сетей на базе PPTP?
Тоже не обязательно. Как и в случае с другими средствами созданияВЧС, безопасность сетей на базе L2TP во многом определяется особенностями ихпрактической реализации. Безопасность стандартных ВЧС такого типа достигаетсяза счет применения протокола IPSec, который обеспечивает конфиденциальность иодновременно контролирует целостность сообщений. При этом, как правило,одновременно используется и аутентификация по протоколу РРР, которая позволяетпроверить, кто именно подключается к сети. Следовательно ВЧС на базе L2TP сприменением IPSec способны обеспечить надежную защиту информации в самых разныхусловиях./>Можно ли сказать, чтомежсерверные ВЧС безопаснее клиент-серверных виртуальных сетей?
В пользу межсерверных ВЧС говорит целый ряд факторов. Так, здесь могутиспользоваться более длинные, и к тому же кажущиеся бессмысленными, пароли –ведь они хранятся, как правило, на жестком диске, и их не нужно вводитьвручную. Однако такие потенциальные преимущества в полной мере сказываются лишьв тех случаях, когда через серверы проходит весь трафик ВЧС. К тому жемежсерверные системы предъявляют особо жесткие требования к физической защитесерверов.
11 Создание виртуального частного подключения в Windows 200011.1 Создание подключения кудаленному серверу
1. В«Панели управления» открываем папку «Сеть и удаленный доступ к сети».
2. Нажимаемна «Создание нового подключения». Появляется следующее окошко:
/>
Рисунок 8
Нажимаемкнопку «Далее».
3. Видим:
/>
Рисунок 9
Выбираем «Подключение к виртуальнойчастной сети через Интернет» и нажимаем «Далее».
4. Опять вылезает окно следующего содержания:
/>
Рисунок 10
Здесь мывводим IP-адрес сервера, с которым мы хотим установить VPN-соединение, «Далее».
5. Следующееокно:
/>
Рисунок 11
Здесь я выбрал «только для меня» (такзахотелось), «Далее».
6. Следующее окно:
/>
Рисунок 12
Здесь мы вводим название подключения,«Готово».
7. Итак,в окне «Сеть и удалённый доступ к сети» появился значок с названиемподключения, давайте посмотрим:
/>
Рисунок 13
8. Чтоже теперь? А теперь мы легко устанавливаем VPN-соединение, нажав навышеописанный значок:
/>
Рисунок 14
Здесь мывводим имя и пароль. Посмотрим, что произойдёт дальше!
9. Адальше происходит следующее:
/>
Рисунок 15
/>
Рисунок 16
/>
Рисунок 17
Ну, конечно,случаются некоторые неприятности:
/>
Рисунок 18
Примем этокак есть. И вот награда за столь трудоёмкие затраты энергии:
/>
Рисунок 19
10. После этого на панели задач справа появляется значок «Состояниеподключения». Интересно, а что же там? А там вот что:
/>
Рисунок 20
11. Посмотримзакладку «Сведения»:
/>
Рисунок 21 11.2 Создание входящего подключения
Теперь намнеобходимо настроить Windows2000 на приём VPN-подключений.
1. Опятьнажимаем «Создание нового подключения», «Далее» и выбираем «Принимать входящиеподключения»:
/>
Рисунок 22
Естественно, нажимаем«Далее».
2. Вотчто появляется дальше:
/>
Рисунок 23
Здесь всёпонятно, «Далее».
3. Наданном этапе и определяется возможность VPN-подключения к вашему компьютеру:
/>
Рисунок 24
4. Здесьмы выбираем пользователей, которые смогут подключаться к компьютеру:
/>
Рисунок 25
5. Теперьвыбираем используемые сетевые компоненты для подключения:
/>
Рисунок 26
6. Далеемастер сетевого подключения предложит название соединения. Оставим его:«Входящие подключения».
7. Теперьпосмотрим на свойства VPN-подключения. Для этого в окне «Сеть и удалённыйдоступ к сети» наведём на значок нашего соединения «В этом и заключается моякурсовая работа», нажмём правую кнопку мыши и выберем «Свойства».
8. Закладка«Общие». Здесь можно указать IP-адрес компьютера, с которым мы будемустанавливать VPN-соединение, а так же указать номер телефона:
/>
Рисунок 27
9. Закладка«Параметры». Здесь указываются Параметры набора номера и Параметры повторногозвонка:
/>
Рисунок 28
10. Закладка«Безопасность». Здесь у нас имеется два пункта «Параметров безопасности»:«Обычные» и Дополнительные».
/>
Рисунок 29
В меню «При проверке используется:»можно выбрать либо «Безопасный пароль», либо «Смарт-карта».
Если выбратьпункт «Дополнительные» и нажать «Настройка», то вылезет следующее окно:
/>
Рисунок 30
В меню«Шифрование данных» можно выбрать три пункта:
-обязательное (отключитьсяесли нет шифрования)
-необязательное(подключиться даже без шифрования)
-неразрешено (отключитьсяесли требуется шифрование)
В меню«Безопасный вход» имеется два пункта:
1) Протоколрасширенной проверки подлинности. Здесь имеется список методов проверкиподлинности, доступных на компьютере.
2) Разрешитьследующие протоколы. Здесь указывается, какие протоколы разрешить/не разрешить.
11. Закладка«Сеть». Здесь можно выбрать тип вызываемого сервера VPN: Автоматически,Туннельный протокол точка-точка (PPTP) и туннельный протокол второго уровня(L2TP). Так же имеется список доступных для использования сетевых компонентов.
/>
Рисунок 31
12. Закладка«Общий доступ».
/>
Рисунок 32
Если навестина «Общий доступ» и нажать правую кнопку мыши, то появится следующая подсказка:
/>
Рисунок 33
12 Создание виртуального частного подключения вWindows NT 12.1 Установка протокола PPTP
Установкапротокола PPTP (в нашем случае он уже установлен). В «Панели управления» дваждыщелкаем на папку «Сеть». Затем смотрим закладку «Протоколы»:
/>
Рисунок 34
Нажимаем накнопку “Add” (Добавить), выбираем Point to Point Tunneling Protocol, нажимаемОК:
/>
Рисунок 35
Чтобыпосмотреть конфигурацию PPTP, нужно нажать правой кнопкой на Point to PointTunneling Protocol:
/>
Рисунок 36
Здесь можновыбрать количество одновременных подключений к серверу. 12.2 Добавление VPN устройств на PPTP сервер
Наводим курсор на Remote AccessService и нажимаем Properties.
/>
Рисунок 37
Затем для добавления VPN-устройства нужно нажать Add и выбратьVPN-устройство:
/>
Рисунок 38
Устройство добавлено:
/>
Рисунок 39
Для конфигурирования VPN-устройства нажимаем Configure:
/>
Рисунок 40
Здесь имеются следующие возможности:
· Только исходящие звонки
· Только входящие звонки
· Исходящие и входящие звонки
Выбираем «исходящие и входящие звонки». Теперь сервер можетпринимать и создавать VPN-соединения.
PPTP в большинстве случаев используется для создания безопасныхсоединений через Интернет. Таким образом, PPTP клиент должен иметь две записи всвоей телефонной книге:
1) для соединения с Интернет-провайдером
2) для соединения с PPTP сервером
Однако если использовать PPTP для соединения с другим компьютеромпо локальной сети, необходимо иметь только одну запись в телефонной книге. 12.3 Создание записи в телефонной книге для подключения кпровайдеру Интернета
Запускаем программу Dial-UpNetworking (Start, Accessories). В появившемся окне вводим имя новой записи и нажимаем «Next». Вовновь появившемся окне выбираем I am calling the Internet и нажимаем«Next»:
/>
Рисунок 41
В следующем окне выбираем модем, нажимаем «Next». Далее появляетсяокно, в котором мы вводим телефонный номер провайдера, нажимаем «Next». Новаязапись сделана. Можно редактировать запись нажав «More», «Edit entry and modemproperties». Появиться окно с открытой закладкой «Basic»:
/>
Рисунок 42
Здесь можно ввести имя записи, другой номер телефона и т.д.
Закладка «Server». Здесь можно выбрать тип сервера, используемыепротоколы, установить сжатие данных:
/>
Рисунок 43
Закладка «Security». Здесь выбирается политика шифрования иаутентификации:
/>
Рисунок 44 12.4 Создание записи в телефонной книге для подключения к PPTPсерверу
Здесь необходимо произвести операции, описанные выше, заисключением следующих:
-в окне выбора модема нужно выбратьустройство RASPPTPM(VPN1), нажать «Next»
-в появившемся окне вместо телефонного номераввести IP-адрес сервера
Появилась новая запись:
/>
Рисунок 45
Для редактирования записи нужно нажать «More», «Edit entry andmodem properties»:
/>
Рисунок 46
Теперь можно подключиться к PPTP серверу. В окне Dial-UpNetworking выбираем запись для подключения к PPTP серверу и нажимаем«Dial». После проверки имени и пароля появляется окно:
/>
Рисунок 47
Соединение произведено успешно.
В правом углу «Панели задач» появляется значок Dial-Up NetworkingMonitor. Если щёлкнуть на него, появиться окно:
/>
Рисунок 48
13 Создание виртуального частного подключения в Windows 9х
Microsoft Windows 9x имеет весьма скромные возможности длясоздания VPN-соединений по сравнению c Windows NT и тем более с Windows 2000.Здесь можно работать только в качестве PPTP клиента. 13.1 Установка Адаптера виртуальной частной сети Microsoft
Сначала необходимо установить адаптер виртуальной частной сетиMicrosoft. В «Панели управления» дважды щелкаем на папку «Сеть». Затем нажимаемкнопку «Добавить», выбираем тип устанавливаемого устройства – Сетевая плата иснова нажимаем «Добавить». В появившемся окне выбираем Изготовитель: Microsoft,Сетевая плата: Адаптер виртуальной частной сети Microsoft. Так же необходимоустановить «Контроллер удалённого доступа»:
/>
Рисунок 49
После проделанных операций закладка «Конфигурация» папки «Сеть»будет иметь следующий вид:
/>
Рисунок 50
13.2 Создание VPN-соединения
1. Теперь можно приступить к созданию VPN-соединения. Для этого впапке «Удаленный доступ к сети» дважды щелкаем на значок «Новое соединение».Появляется следующее окно:
/>
Рисунок 51
Здесь вводим название соединения, выбираем Microsoft VPN Adapter инажимаем «Далее».
2. Во вновь появившемся окне вводим IP-адрес VPN-сервера:
/>
Рисунок 52
3. В папке «Удаленный доступ к сети» появляется значок с названиемсоединения:
/>
Рисунок 53
4. Дважды щёлкаем на значок с нашим VPN-соединением. В появившемсяокне вводим имя и пароль и нажимаем «Подключиться»:
/>
Рисунок 54
5. Далее происходит следующее:
/>
Рисунок 55
7. Соединение произведено успешно:
/>
Рисунок 56/>14 Использование программы Sniffer Pro для просмотра содержимого пакетов
Для тогочтобы просмотреть в каком виде передаются данные по протоколу PPTPиспользовался анализатор сети Sniffer Pro 2.5 (рисунок 57).
При VPNсоединении клиента Windows 98 с сервером Windows2000 было перехвачено 100пакетов.
/>
Рисунок 57 –перехваченные пакеты
Окноразделено на три части: основная информация, детальная информация и содержимоепакета в шестнадцатеричном виде.
Основнаяинформация содержит записи о перехваченных пакетах. Каждая запись содержитадрес отправителя, адрес получателя, протокол, длину пакета, время с началаперехвата, временную разницу между первым перехваченным пакетом и последующим идату перехвата.
PPTP посылает управляющую информацию через протокол TCP, а данные- через протокол Generic Routing Encapsulation (GRE).
На рисунке 57 видно, что в основном идёт обмен пакетами попротоколу GRE.
Посмотрим содержимое пакетов переданных с помощью протокола GRE.
/>
Рисунок 58 –перехваченные пакеты
На рисунке 58 видна детальная информация о пакете, а такжесодержимое пакета. До места отмеченного серым цветом идет служебная информацияо пакете, а далее сами данные в зашифрованном виде.
Посмотрим еще пакет:
/>
Рисунок 59 –перехваченные пакеты
Для сравнения посмотрим пакет переданный по протоколу TCP:
/>
Рисунок 60 –перехваченные пакеты
На рисунке 60 видно, чтопакет не содержит зашифрованных данных. До места отмеченного серым цветом идётинформация об IP, а затем о TCP.
Заключение
Защита сети –процесс динамичный. Здесь приходится постоянно искать компромисс, который быпозволил надежно защитить информацию, не тормозя работу самой сети и не снижаяпроизводительность всей организации.
Средства ВЧС,разработанные Microsoft, обеспечивают высочайший уровень безопасности. Ониоткрывают перед организациями все достоинства такой удобной и экономичнойтехнологии, как туннелирование трафика в общедоступных сетях, и при этомнадежно блокируют несанкционированный доступ к информации через черный ход.
Microsoft продолжает развивать свои технологиивиртуальных частных сетей, чтобы предложить пользователям хорошоинтегрированные и безопасные средства организации ВЧС. Применение протоколаPPTP дает организациям возможность легко и с минимальными затратамипрокладывать туннели через общедоступные сети, предупреждая при этомнесанкционированное их использование. Возможности PPTP прекрасно дополняетпротокол MPPE, обеспечивающий дополнительное шифрование данных, передаваемых потуннелю. А протоколы L2TP, IPSec и EAP, поддержка которых предусмотрена вWindows 2000, сделают доступными и другие методы аутентификации, включаяприменение микропроцессорных карточек.
Прекрасно осознавая динамический характер сетевых угроз, Microsoftпытается предвосхитить будущие требования к безопасности сетей, для чегообращает повышенное внимание на развитие средств защиты сетевых операций. Ееусилия в этой области привели к дальнейшему повышению безопасности ВЧС на базеPPTP за счет:
расширенной аутентификации по протоколу MS-CHAP;
применения для аутентификации более стойких паролей;
применения дополнительных средств шифрования на базе протоколаMPPE;
защиты канала управления.
Организациям приходится иметь дело с самыми различными угрозамибезопасности. Некоторые сети, особенно те, где циркулирует строгоконфиденциальная информация и существует высокая вероятность попыток взлома,требуют применения самых надежных систем защиты. Для других же вполнедостаточно развертывания базовой ВЧС, дополненной, возможно, шифрованиемданных.