Security
.pdfВиртуальные частные сети - VPN
Средства VPN должны предоставлять основные услуги безопасности: Конфиденциальность – это гарантия того, что в процессе
передачи данных по каналам VPN эти данные не будут просмотрены посторонними лицами.
Целостность – гарантия сохранности передаваемых данных.
Никому не разрешается менять, модифицировать, разрушать или создавать новые данные при передаче по каналам VPN. Доступность – гарантия того, что средства VPN постоянно доступны легальным пользователям.
Для решения этих задач в решениях VPN используются такие средства как шифрование данных для обеспечения целостности и конфиденциальности, аутентификация и авторизации для проверки прав пользователя и разрешения доступа к сети VPN, резервирование для обеспечения отказоустойчивости.
Туннелирование
Нельзя полностью контролировать данные при их передаче через каналы и узлы интернет, принадлежащие различным провайдерам. Поэтому требуются механизмы по обеспечению защиты передаваемых данных.
Туннель – это тот инструмент, который позволяет сделать VPN
«виртуальной» частной сетью.
Туннель создаётся двумя пограничными устройствами, размещёнными в точках входа в публичную сеть.
Процесс туннелирования осуществляется при помощи 3-х типов протоколов:
•Passenger protocol – инкапсулируемый протокол; •Encapsulating protocol – инкапсулирующий протокол; •Carrier protocol – протокол доставки.
Туннелирование
Процесс туннелирования выглядит следующим образом: Исходный пакет помещвется в новый пакет – пакет инкапсулирующего протокола. Полученный новый пакет помещается в пакет протокола доставки (как правило, это протокол IP) для передачи по общедоступной сети.
Т.е. при инкапсуляции кадр не передаётся в сгенерированном узлом-
отправителем виде, а снабжается дополнительным заголовком, содержащем информацию о маршруте, позволяющую проходить через промежуточную сеть (Интернет). На другом конце туннеля кадры деинкапсулируются и передаются получателю.
Таким образом, благодаря гибкому механизму и многоуровневой структуре VPN, достигается возможность передавать по интернет в инкапсулированном и зашифрованном виде пакеты таких протоколов, как IPX или NetBeui, что обычными средствами сделать не получиться.
Шифрование
Туннелирование не обеспечивает полной безопасности, передавемых через интернет данных. Исходный пакет просто инкапсулируется в пакет инкапсулирующего протокола.
Т.е. данные передаются в открытом виде и могут быть
перехвачены.
Поэтому данные, передавемые по туннелю VPN, должны быть зашифрованы. Перед отправкой данные шифруются узломотправителем (или VPN-шлюзом) и передаются по уже установленному туннелю. Затем данные отправляются получателю, который дешифрует информацию. Только обладатель ключа к шифру может дешифровать данные.
Шифрование
Симметричные алгоритмы шифрования (с закрытым ключём)
Cпособ шифрования, в котором для шифрования и расшифровывания применяется один и тот же криптографический ключ.
Ключ алгоритма должен сохраняться в секрете обеими сторонами.
Симметричные алгоритмы бывают:
1. Блочные. Обрабатывают информацию блоками определённой длины (обычно 64, 128 бит), применяя к блоку ключ в установленном порядке, как правило, несколькими циклами перемешивания и подстановки, называемыми раундами.
2. Поточные . В которых шифрование проводится над каждым битом либо байтом исходного (открытого) текста.
Шифрование
Симметричные алгоритмы шифрования
Требования
1.Утрата всех статистических закономерностей исходного сообщения. Для этого шифр должен иметь «эффект лавины» — должно происходить сильное изменение шифроблока при однобитном изменении входных данных (в идеале должны меняться значения половины бит шифроблока)
2.Oтсутствие линейности
Примеры симметричных алгоритмов
AES (Advanced Encryption Standard) (Rijndael)- стандарт шифрования в США
DES (Data Encryption Standard) - стандарт шифрования данных в США до AES 3DES (Triple-DES, тройной DES)
ГОСТ 28147-89 — стандарт шифрования данных в СССР
RC2, RC4, RC5, RC6 (Шифр Ривеста ) Blowfish, Twofish
IDEA (International Data Encryption Algorithm, Ascom-Tech AG, Швейцария) CAST (Carlisle Adams и Stafford Tavares)
Шифрование
Симметричные алгоритмы шифрования
Достоинства:
1.Cкорость
2.Простота реализации
3.Меньшая требуемая длина ключа для сопоставимой стойкости
4.Изученность
Недостатки:
1.Сложность управления ключами в большой сети. Означает квадратичное возрастание числа пар ключей, которые надо генерировать, передавать, хранить и уничтожать в сети. Для сети в 10 абонентов требуется 45 ключей, для 100 уже 4950 и т. д.
2.Сложность обмена ключами. Для применения необходимо решить проблему надёжной передачи ключей каждому абоненту, так как нужен секретный канал для передачи каждого ключа обеим сторонам.
Шифрование
ГОСТ 28147-89
1.Один из 32-битных субблоков данных складывается с 32-битным значением ключа раунда Kх по модулю 232.
2.Результат предыдущей операции разбивается на 8 фрагментов по 4 бита, которые параллельно «прогоняются» через 8 таблиц замен S1…S8. Таблицы замен в стандарте не определены.
3.4-битные фрагменты (после замен) объединяются обратно в 32-битный субблок, значение которого циклически сдвигается влево на 11 бит.
4.Обработанный предыдущими операциями субблок накладывается на необработанный с помощью побитовой логической операции «исключающее или» (XOR).
5.Субблоки меняются местами.
Шифрование
A[+]B - сложение по модулю 232:
если A+B=> 232, то A[+]B=A+B- 232
если A+B< 232 , то A[+]B=A+В, где A и B 32-битные числа.
Номер S блока
|
|
|
|
|
|
|
|
Значение |
|
|
|
|
|
|
|
|
|
0 |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
13 |
14 |
15 |
1 |
4 |
10 |
9 |
2 |
13 |
8 |
0 |
14 |
6 |
11 |
1 |
12 |
7 |
15 |
5 |
3 |
2 |
14 |
11 |
4 |
12 |
6 |
13 |
15 |
10 |
2 |
3 |
8 |
1 |
0 |
7 |
5 |
9 |
3 |
5 |
8 |
1 |
13 |
10 |
3 |
4 |
2 |
14 |
15 |
12 |
7 |
6 |
0 |
9 |
11 |
4 |
7 |
13 |
10 |
1 |
0 |
8 |
9 |
15 |
14 |
4 |
6 |
12 |
11 |
2 |
5 |
3 |
5 |
6 |
12 |
7 |
1 |
5 |
15 |
13 |
8 |
4 |
10 |
9 |
14 |
0 |
3 |
11 |
2 |
6 |
4 |
11 |
10 |
0 |
7 |
2 |
1 |
13 |
3 |
6 |
8 |
5 |
9 |
12 |
15 |
14 |
7 |
13 |
11 |
4 |
1 |
3 |
15 |
5 |
9 |
0 |
10 |
14 |
7 |
6 |
8 |
2 |
12 |
8 |
1 |
15 |
13 |
0 |
5 |
7 |
10 |
4 |
9 |
2 |
3 |
14 |
6 |
11 |
8 |
12 |
Операция XOR, Сложение по модулю 2, Исключа́ющее ИЛИ
^
a |
0 |
0 |
1 |
1 |
b |
0 |
1 |
0 |
1 |
aXORb |
0 |
1 |
1 |
0 |
Шифрование
Алгоритм |
Размер |
Длина |
Число циклов |
Основные операции |
|
ключа |
блока |
|
|
DES |
56 |
64 |
16 |
Перестановка, подстановка, |
|
|
|
|
Å |
FEAL |
64, 128 |
64 |
<=4 |
Сложение по модулю 28, |
|
|
|
|
циклический сдвиг, Å |
IDEA |
128 |
64 |
8 |
Умножение по модулю 216+1, |
|
|
|
|
сложение по модулю 216, Å |
ГОСТ 28147-89 |
256 |
64 |
32 |
Сложение по модулю 232, |
|
|
|
|
подстановка, циклический |
|
|
|
|
сдвиг, Å |
RC5 |
8t, t<=255 |
32, 64, 128 |
<= 255 |
Сложение по модулю 2W, |
|
|
|
|
(W=1/2 длины блока), |
|
|
|
|
циклический сдвиг, Å |
Blowfish |
<=448 |
64 |
16 |
Сложение по модулю 232, |
|
|
|
|
подстановка, Å |