Архитектурная безопасность

Учитывая то, что работа протоколов маршрутизации  относится к "инфраструктурному" (сетевому и транспортному) уровню сети, эфективно для этой цели использовать соответствующие механизмы и  протоколы сетевого и транспортного уровней (NLSP, TLSP). С другой стороны протокол BGP сам имеет средства в структуре пакетов для поддержки аутентификации и целостности.

5.2.6. Протокол передачи гипертекстовой  информации HTTP (HyperText Transfer Protocol)

Протокол передачи гипертекстовой информации, являющийся базовым для построения World Wide Web, относится к прикладному уровню и опирается на ряд протоколов более низкого уровня и другие протоколы прикладного уровня, а также используемые ими сервисы и механизмы обеспечения безопасности.

Широкое распоостранение WWW, богатые возможности представления  мультимедиа информации и удобного инфтерфейса с пользователем  привели к широкому использованию WWW в бизнесе и развитию электронной  коммерции через WWW, что повлекло за собой необходимость разработки специальных средств обеспечения безопасности коммуникаций при помощи HTTP. Так, были разработаны и сейчас находится на стадии обсуждения в IETF протоколы Secure HTTP (SHTTP) и Secure Socket Level (SSL).

Протокол SSL предназначен для обеспечения безопасных коммуникаций между двумя приложениями на транспортном уровне SSL (Secure Socket Communication), используя порты или сокеты (sockets). Он обеспечивает конфиденциальность коммуникаций между двумя приложениями через транспортный уровень, а также может обеспечивать аутентификацию сервера и, дополнительно, клиента. Приложения более высокого уровня (Telnet, FTP, HTTP) могут использовать SSL для обеспечения безопасносго канала коммуникаций.

Протокол SHTTP обеспечивает необходимые для приложений электронной коммерции сервисы безопасности - конфиденциальность транзакций, аутентификацию, целостность сообщений, причастность отправителя. SHTTP обеспечивает безопасные коммуникации между конечными системами за счет использования криптографических механизмов RSA при обмене сообщениями на прикладном уровне.

5.3. Использование брандмауэров

Брандмауэры (Firewall) занимают важное место в архитектуре  безопасности Интернет. Брандмауэры  используются для защиты сетей посредством  контроля внешнего доступа к внутренней сети и наоборот. Брандмауэры могут использоваться для создания "периметра безопасности", который обеспечивает защиту сети на сетевом уровне, позволяя таким образом упростить требования к защищенности отдельных компьютеров и рабочих мест.

Брандмауэр обычно располагается в точке доступа локальной или корпоративной сети к внешней сети, например, Интернет. Брандмауэры могут также использоваться для защиты отдельных сегментов корпоративной сети, реализуя специфические функции по защите данного сегмента. Все соединения проходят через брандмауэр и проверяются на соответствие установленным правилам доступа на основе анализа заголовков IP-пакетов и, в отдельных случаях, заголовков ТСР-пакетов (в частности, номеров портов, определяющего типы коммуницирующих сервисов). В качестве брандмауэра может использоваться маршрутизатор, персональный компьютер, рабочая станция или система компьютеров, реализующих необходимые функции по защите ресурсов сети от внешнего"злоумышленного" доступа.

Концепция брандмауэров включает реализацию

• сетевой политики безопасности, определяющей правила доступа к ресурсам и сервисам сети и используемые для этого средства и протоколы
• дополнительных механизмов аутентификации
• фильтрацию пакетов
• шлюзы для приложений, которые не позволяют эффективно применять фильтрацию пакетов (например, Telnet, FTP, HTTP), обычно реализуемые при помощи функций Proxy-сервера (замещающего сервера).

Программные реализации брандмауэров доступны как в коммерческом варианте (например, фирмы Digital), так  и свободно распространяемом варианте в Интернет для некоммерческого использования (при этом государственные организации не подлежат лицензионному соглашению на свободно распространяемые программные продукты в Интернет).

Заключение

1. Архитектуру безопасности Интернет, которая первоначально разрабатывалась для сетей общего пользования Министерства обороны США DOD/Internet, достаточно полно описывается группой стандартов Интернет RFC, описанными выше и приведенными в Приложении 1.

Важной особенностью этой архитектуры является то, что она в своей основе ставит цель обеспечения безопасности между конечными системами, которые для коммуникаций используют неконтроллируемую (недоверительную) сетевую среду. Это приводит к приоритетному использованию сервисов безопасности на уровнях выше сетевого и транспортного, т.е. преобладающе на прикладном уровне. Это в свою очередь позволяет использовать многие сервисы и соответствующие программные продукты с другими группами сетевых протоколов и различными сетевыми операционными системами.

2. Выделяются  такие основные направления стандартизации  в архитектуре безопасности Интернет:

• Обеспечение безопасности сетевой инфраструктуры, которая соответствует Сетевому и Транспортному уровням, что включает архитектуру безопасности IP-протокола и обеспечение безопасности протоколов управления TCP/IP- сетями.
• Обеспечение безопасности обмена информацией между конечными системами, приложениями или пользователями, куда входят протоколы обеспечения безопасных коммуникаций между сервисами Прикладного уровня (электронная почта, служба директорий, сервисы удаленного доступа, World Wide Web (WWW)).

В архитектуре  безопасности DOD/Internet дополнительно  ставятся требования обеспечения доверительности  конечных компьютерных систем и конфиденциальности коммуникаций в сети.

3. Все сервисы  безопасности реализуются, как  дополнение к основным протоколам, и могут вводится по желанию  пользователей в зависмости от  требуемого уровня безопасности  или доверительности к промежуточным  системам. Это обьясняется необходимостью использования дополнительных сетевых и вычислительных ресурсов для обеспечения сервисов безопасности, что связано с дополнительными расходами или падением производительности сетевых приложений.

4. Существует  прямое соответствие между Сервисами безопасности модели ВОС в соответсвтии с ISO 7498-2 и сервисами безопасности Интернет (Конфиденциальность (Confidentiality), Аутентификация (Authentication), Целостность (Integrity), Контроль доступа (Access Control), Причастность ("неотпирательство", Nonrepudiation)).

5. В соответствии  с ISO 7498-2 базовыми являются модели  соответсвия между сервисами  безопасности и уровнями модели  сетевого взаимодействия ВОС,  а также между сервисами и  механизмами безопасности.

В Интернет в  качестве базового подхода к безопасности используется карта соответствия между сетевыми приложениями (сервисами) и механизмами безопасности, что и нашло отражение в рассмотренных RFC.

6. Архитектура  безопасности Интернет в настоящее  время является достаточно хорошо  проработанной и реализована в большом количестве программных продуктов и межсетевых средствах. Основная ее ориентация на обеспечение безопасности коммуникаций между конечными системами и пользователями делает ее применимой для большинства групп сетевых протоколов и операционных систем.

7. Важным элементом  архитектуры безопасности Интернет  является обеспечения безопасности  обмена сообщениями по электронной  почте, которая является наиболее  широко используемым приложением  Интернет и современных коммуникаций. Это стандарты PEM (Privacy Enhanced Mail), PGP (Pretty Good Privacy), MOSS (MIME Object Security Services), которые также используются для обмена защищенными сообщениями в других приложениях Интернет (служба директорий, протоколы сетевого управления, видеоконференции и т.д.).

8. Другим важным  элементом Архитектуры безопасности  Интернет является архитектура  распределения и сертификации  открытых ключей, которая обеспечивает  средства "заверения" третьей  доверительной стороной открытых  ключей, основываясь на службе директорий Х.509 и моделях управления телекоммуникационными сетями Х.700.

9. В настоящее  время являются стандартами де-факто  протоколы SSL и SHTTP для обеспечения  безопасности обмена гипертекстовыми  документами в среде World Wide Web (WWW), которая в последнее время широко применяется в Интернет для создания сети "Открытой коммерции".

Литература

1. Демченко Ю.В. Безопасность компьютерных сетей в соответствии с рекомендациями стандарта ISO 7498-2. - Безопасность информации. - Вып. 3, 1994. - стр. ???
2. Lynch D.C., Rose M.T. Internet System Handbook. - Addison Wesley Publishing. - 1993. - 790 p.p.
3. C.Liu, J.Peek, R.Jones, B.Buus, A.Nye "Managing Internet Information Services". - O'Reilly & Associates. - December 1994. - 630 p.
4. Internetworking Technology Overview. - Cisco Systems. - 1993.
5. S.Kolletzki. Secure Internet Banking with Privacy Enhanced Mail - A Protocol for Relaible Exchange of Secured Order Form. - Proceedings JENC7, May 13-16, 1996, Budapest. - Pp. 232-1 - 232-9.
6. M.Gehrke, T.Hetschold. Management of a public key certification infrastructure Experiences from the DeTeBerkom project BMSec. - Proceedings JENC7, May 13-16, 1996, Budapest. - Pp. 232-1 - 232-9.
7. Harald.T.Alvestrand. X.400 has security defined; Internet Mail has PGP, PEM and MOSS. - http://domen.uninett.no/~hta/x400/debate/security.html.
8. ISO 7498-2. Basic Reference Model - Part 2: Security Architecture. - February 1989.
9. Derek Atkins, William Stallings, Philip Zimmermann, PGP Message Exchange Formats, Internet Draft, 1995.
10. Kipp E.B. Hickman Taher Elgamal THE SSL PROTOCOL Internet Draft Netscape Communications Corp June 1995 (Expires 12/95)
11. ITU Recommendation X.400 - X.440. Data Communication Network: Message Handling Systems.
12. ITU Recommendation X.400 Message Handling Services: Message Handling System and Service Overview (ISO/IEC 10021-1), 1993
13. ITU Recommendation X.402 Message Handling Systems: Overall Architecture (ISO/IEC 10021-2), 1992
14. ITU Recommendation X.411 Message Handling Systems - Message Transfer System: Abstract Service Definition and Procedures (ISO/IEC 10021-4), 1992
15. ITU Recommendation Recommendations X.500 - X.582. Data Communication Networks: The Directory.
16. ITU Recommendation X.509 The Directory: Authentication Framework (ISO/IEC 9594-8), 1993.
17. ITU Recommendation X.700 - X.790. Information Technology - Open System Interconnection - Management Framework for Open Systems.
18. ITU Recommendation X.800 - X.833. Information Technology - Open System Interconnection - Security Framework for Open Systems.