Архитектурная безопасность
1. Введение
Интернет представляет
собой сообщество сетей, не имеющих
единого централизованного
Правила функционирования Интернет, наподобие правил этикета, являются волюнтаристскими (произвольными) и добровольными (непринудительными) до тех пор, пока они не противоречат национальным законам. В свою очередь, различие или даже отсутствие законов, регулирующих сферу существования Интернет, в разных странах, делает невозможным установление обязательных правил функционирования и использования Интернет.
2. Система стандартизации в Интернет
Поскольку стандартизация - довольно дорогостоящая процедура, в настоящее время в области Интернет, телекоммуникаций и сетевых информационных технологий (СИТ) используются стандарты, разработанные и выпущенные различными органами стандартизации, как международными (ISO, IEEE, ICTT, ECMA, IETF ISOC), так и национальными (ANSI), а также так называемые стандарты де-факто, внедряемые крупными производителями и группами производителей в составе продукции или работающих систем.
Вся система стандартизации направлена на текущие и перспективные потребности рынка ИТ. Причем международной стандартизации подвергаются только важнейшие и наиболее концептуальные вопросы и технологии. Большинство стандартов используются в оригинальном виде или гармонизируются (переводятся, и согласовывается терминология).
Система стандартизации в Интернет имеет своеообразную структуру, носящей отпечаток того периода, когда Интернет развивалась, как научная сеть. Основные стандарты проходят путь через их первую версию, называемую RFC (Request For Comment - документ, предложенный для обсуждения), которая принимается Техническим Комитетом (IETF - Internat Engineering Task Force) при Обществе Интернет (ISOC - Internet Society), и начинают работать, как стандарты Интернет, а затем они могут приниматься IEEE или ISO (International Standard Organization).
В настоящее
время опубликовано более 1900 RFC, которые
стандартизуют все вопросы
Наиболее важные вопросы регламентируются стандартами ISO после их промышленной апробации. Если стандарты Интернет ориентированы на применение в среде сетей Интернет, то стандарты ISO, как правило, покрывают вопросы межсетевого взаимодействия или актуальные для множества существующих сетей и технологий и ориентированы на широкое промышленное применение.
ISO стандартизована
Модель Взаимодействия
IEEE стандартизованы
интерфейсы локальных
Большую группу
стандартов, применяемых в
3. Архитектура сетей на основе протоколов TCP/IP (Интернет)
3.1. Группа протоколов TCP/IP
Группа протоколов TCP/IP, являющаяся базовой для построения глобальной сети Internet, была разработана в в ходе работ, финансированных Министерством обороны США в рамках проектов DARPA (Defence Advanced Project Agency) в 1970-х. Главной целью этой работы была разработка группы протоколов, которые могли бы использоваться для широкого диапазона применений, включая стратегические и тактические локальные и глобальные сети. Разрабатываемые протоколы должны были быть независимы от нижних сетвых уровней и работать в условиях изменяющейся топологии сети.
Группа протоколов TCP/IP и их соответствие модели Взаимодействия открытых систем показаны на рис. 3.1. Основные протоколы, входящие в группу TCP/IP:
ARP(Address Resolution Protocol),
RARP (Reverse Address Resolution Protocol) - протоколы
разрешения МАС- адресов (
IP (Internet Protocol) - протокол межсетевого обмена (Интернет- протокол).
ICMP (Internet Control Message Protocol) - Протокол обмена управляющими сообщениями. Используется в протоколах маршрутизации для обмена служебными сообщениями.
TCP (Transmission Control
Protocol) - Протокол транспортного уровня,
обеспечивающий дуплексный
UDP (User Datagram Protocol)
- упрощенный протокол
RPC (Remote Procedure Call), XDR (External Data Representation), NFS (Network File System) - сервисы распределенной файловой системы.
FTP (File Transfer Protocol)
- протокол передачи файлов
Telnet - протокол
эмуляции терминала для
SMTP (Simple Mail Transfer Protocol) - протокол передачи почтовых сообщений.
SNMP (Simple Network Management
Protocol) - протокол управления малыми
сетями, который применяется для
управления достаточно
Уровень модели ВОС |
Группа протоколов TCP/IP | ||||
7 |
Прикладной |
NFS | |||
6 |
Представительный |
FTP, Telnet, |
XDR | ||
5 |
Сеансовый |
SMTP, SNMP |
RPC | ||
4 |
Транспортный |
TCP, UDP | |||
3 |
Сетевой |
Routing Protocols |
ICMP | ||
IP | |||||
ARP, RARP | |||||
2 |
Данных |
Not Specified | |||
1 |
Физический |
||||
Рис. 3.1. Группа
протоколов TCP/IP.
3.2. Форматы TCP/IP- пакетов
Форматы пакетов включают в себя последовательно вложенные заголовки различных уровней сетевого взаимодействия. Причем заголовок уровня данных следует первым, в его поле данных помещается фрейм сетевого уровня, начинающийся со своего заголовка, и т.д..
На рис. 3.2 приведен пример пакета Ethernet, содержащего все заголовки последующих уровней модели ВОС, которые находятся в поле данных исходного пакета, длина которого задается требованием стандарта на Ethernet и не должна превышать 1518 байт.
Рис. 3.2. Формат пакета Ethernet, содержащий вложенные заголовки вышестоящих уровней.
На рис. 3.3 и 3.4 приведены форматы пакетов сетевого уровня IP и транспортного уровня ТСР соответственно.
Основные поля IP-пакета:
Version - номер версии IP-протокола
IHL (IP Header Length) - длина IP-заголовка
Type of Service - определяет тип протокола более высокого уровня, который нужен для обработки данной дейтаграммы, включая требования безопасности.
Total Length - общая длина IP-пакета.
Identification - число,
идентифицирующее данную
Flags - указывает, может ли данная дейтаграмма быть фрагментирована и является ли данная дейтаграмма последней.
Fragment offset - смещение фрагмента.
Time To Live - устанавливает
счетчик, который работает на
вычитание пр каждом
Protocol - определяет,
какой вышестоящий потокол
Header Checksum - обеспечивает целостность заголовка пакета.
Source Address, Destination Address - указывают сетевые адреса отправителя и получателя.
Option - позволяет
поддерживать различные
Padding - ипсользуется
для дополнения пакета до
Основные поля ТСР-пакета:
Source port, Destination port - определяет номера портов, через которые доступны коммуницирующие сервисы вышестоящих уровней.
Sequence number - определяет
номер, присвоенный первому
Acknowledgement number - указывает
на номер следующего байта,
который ожидает получить
Data offset - указывает на число 32-битовых слов в ТСР-заголовке.
Reserved - поле зарезервировано
для последующего
Flags (URG, ACK, PSH, RST,
SYN, FIN) - поле флагов, используемых
при коммуникациях и
Window - определяет размер буфера входных данных получателя.
Checksum - используется
для контроля целосности ТСР-
Urgent pointer - указывает на первый байт срочных данных.
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
Version |
IHL |
Type of Service |
Total Length | ||
Identification |
Flags |
Fragment offset | |||
Time To Live |
Protocol |
Header Checksum | |||
Source Address | |||||
Destination Address | |||||
Option |
Padding | ||||
Рис. 3.3. Формат
заголовка IP-пакета (линейка вверху
указывает номера битов).
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
Source port |
Destination port | ||||||||
Sequence number | |||||||||
Acknowledgement number | |||||||||
Data offset |
Reserved |
U R G |
A C K |
P S H |
R S T |
S Y N |
F I N |
Window | |
Checksum |
Urgent pointer | ||||||||
Options |
Padding | ||||||||
Data ... | |||||||||
Рис. 3.4. Формат заголовка ТСP-пакета (линейка вверху указывает номера битов).
4. Архитектура безопасности DOD/Internet
Сети общего пользования DOD/Internet используют группу протоколов TCP/IP, используемых также в Интернет. Однако архитектура безопасности DOD существенно отличается от архитектуры безопасности Интернет, что является следсвием различных исходным принципов/подходов к обеспечению безопасности систем и приложений, сложившихся исторически.
В основе подхода DOD к обеспечению безопасности компьютерных сетей лежат три основных положения:
- конфиденциальность является первичным сервисом безопасности
- важно обеспечить высокие гарантии безопасности
- компьютеры, в общем, являются недоверительными элементами (в частности, могут быть подвержены скрытым атакам типа "Троянский конь")
Особый характер информации, циркулирующий в сетях DOD общего назначения, привел к использованию принципа "минимальных привилегий" ("principle of least privilege" или "need-to-now"), согласно которому обработка данных в открытом виде производится только теми устройствами, которые должны (уполномочены) это делать. Этот принцип приводит к приоритетному использованию методов обеспечения безопасности между конечными системами.
Упор на обеспечении гараантированной безопасности компьютерных и сетевых систем в концепции безопасности DOD привел к развитию парадигмы эталонного монитора (reference monitor paradigm), релизуемого посредством безопасной операционной системой, действующей как доверительный "посредник" доступа субьектов (пользователей или процессов) к защищенным ресурсам, называемым обьектами (представляющие собой файлы или процессы), в системе. Чтобы быть эффективным, эталонный монитор должен быть промежуточным для всех доступов всех субьектов к любым ресурсам системы. При этом во главу угла ставится также конфиденциальность любых соединений и доступов.
Практическая
реализация указанных принципов
и положений привела к
- Шифрование данных и сигналов на Физическом уровне, которые обеспечивают конфиденциальность коммунникаций "точка-точка" для физичсеких каналов.
- Шифрование данных на Сетевом уровне, которое выполняется специальными устройствами, используемыми в TCP/IP-сетеях, для данных (пакетов) сетевого уровня. Такие устройства позволяют обеспечить высокую защищенность коммуникаций между конечными системами источника и получателя данных (сообщений) без необходимости использования доверительных промежуточных сетевых коммутаторов.
- Шифрование данных на МАС-уровне локальных вычислительных сетей, которое может выполняться как для отдельного компьютера, так и для группы компьютеров.
Устройства, реализующие указанные функции являются очень дорогостоящими и, фактически, целесообразны только действительно для особых критических применений, где производится работа с очень чувствительной информацией.
Важным компонентом архитектуры безопасности TCP/IP-сетей является обеспечение безопасности таких сетевых приложений, как служба директорий и обмен сообщениями, которые требуют использования механизмов обеспечения безопасности на Прикладном уровне таких, как аутентификация, целостность, причастность, контроль доступа.
Следствием применения концепции
эталонного монитора в архитектуре
безопасности DOD является необходимость
использования доверительной
Архитектура безопасности DOD использует механизмы контроля за доступом на основе правил и централизованную систему распределения ключей, в то время как архитектура безопасности Интернет использует механизмы контроля за доступом на основе идентификации пользователя и соответственно распределенную систему распределения открытых ключей на основе Х.509..
5. Основные компоненты
архитектуры безопасности Интернет
5.1. Принципы построения
архитектуры безопасности Интернет.
Изложенные в [1] семь принципов построения уровневой модели безопасности компьютерных сетей в соответствии со стандартом ISO 7498-2 полностью применимы для использования в Интернет. Однако для Интернет целесообразно сформулировать ряд дополнительных принципов, определяющих применимость механизмов безопасности в существующей модели и инфраструктуре Интернет.
- Механизмы безопасности должны быть масштабируемы, чтобы удовлетворять постоянно увеличивающимся масштабам Интернет (количеству сетей, компьютеров и пользователей). В частности, механизмы безопасности (аутентификация и контроль за доступом), использующие службы доменных имен, должны учитывать постоянный рост Интернет.
- Механизмы безопасности должны (иметь возможность) опираться на технологии нижних уровней (алгоритмы и протоколы), которые имеют проверенную гарантированную безопасность.
- Механизмы безопасности не должны ограничивать топологию сети. Например, применение определенного механизма безопасности нежелательно, если условием его применения является использование единственного межсетевого устройства (в данном случае маршрутизатора) для внешних соединений.
- Рекомендуется применять механизмы безопасности и соответствующие продукты, которые не подвержены экспортно-импортным ограничениям или законодательному регулированию.
- Известно, что применение многих механизмов безопасности требует применения инфраструктуры, стоимость управления и поддержания которой сравнима со стоимостью внедрения самих механизмов безопасности. Поэтому целесообразно развивать такие технологии безопасности, которые используют общую инфраструктуру безопасности. Например, инфраструктура сертификации открытых ключей в соответствии со стандартом Х.509 используется для защиты данных в электронной почте в соответствии со стандартами PEM (Privacy Enhanced Mail), Х.400, а также для поддержки механизмов безопасности службы директорий Х.500 и управления телекоммуникационными сетями Х.700.
- Криптографические механизмы, используемые в Интернет, должны быть широко известны и проверены временем. Это не является доказательством надежности этих механизмов, но однако гарантирует от крупных ошибок.
5.2. Рекомендуемое использование механизмов безопасности
В Интернет может полностью использоваться рекомендуемое в ISO 7498-2 соответствие между сервисами безопасности и уровнями модели ВОС. Необходимость этого возникает также исходя из применения в Интернет множества протоколов. Однако предлагаемое соответствие имеет ряд ограничений, связанных с практическим применением этих рекомендаций для реализации конкретных приложений (сервисов) Интернет.
Поэтому для Интернет, в соответствии с рекомендациями рабочей группы по вопросам обеспечения конфиденциальности и безопасности в Интернет (PSRG - Privacy and Security Research Group) IETF, наиболее эффективным является введение комплексного соответствия между сетевыми информационными сервисами, с одной стороны, и существующими сервисами и механизмами безопасности, с другой стороны, что в основном ориентировано на обеспечение совместимости отдельных реализаций сервисов в многопротокольной глобальной среде Интернет. При таком подходе для каждого приложения определяются требования к безопасности и соответствующие необходимые сервисы и механизмы безопасности (протоколы и необходимая инфраструктура), которые смогут удовлетворять этим требованиям. Т.е., фактически, используемое в Интернет соответствие между сетевыми приложениями (сервисами) и механизмами безопасности является обьединением и обобщением предложенных в стандарте ISO 7498-2 карт соответствия между сервисами безопасности и уровнями модели ВОС и между механизмами и сервисами безопасности. Главной целью и преимуществом такого подхода является обеспечение совместимости различных реализаций приложений в Интернет, позволящей использовать продукты различных производителей.
Ниже приводится краткий обзор рекомендуемых и применяемых сервисов механизмов безопасности для основных приложений Интернет: электронной почты, службы директорий, управления сетью, удаленного терминала и передачи файлов, междоменной и внутридоменной мрашрутизации, протокола обмена гипертекстовой информацией в World Wide Web. Отдельно рассмотрены вопросы использования брандмауэров для защиты внутренних и корпоративных сетей и создания так называемого "периметра безопасности".
В Приложении 1 приведен перечень RFC, определяющих архитектуру безопасности Интернет, и дана их краткая аннотация.
5.2.1. Электронная почта
Электронная почта является наиболее широко используемым приложением Интернет. Поэтому обеспечению защиты обмена почтовыми сообщениями (или просто сообщениями) посвящено наибольшее количество стандартов и директивных документов Интернет, ISO, ITU-T (МКТТ).
Отдельные сервисы электронной почты в Интернет определяются стандартами RFC 822 (формат почтовых сообщений), RFC 821 (простейший протокол передачи электронной почты SMTP - Simple mail Transfer Protocol), RFC 1891 (Extended SMTP), RFC 1225 (Post Offica Protocol, Version 3) и другими.
Сервисы безопасности для почтовых сообщений должны включать обеспечение конфиденциальности и целостности (для коммуникаций без установленния соединения), аутентификацию происхождения данных, причастность (для отправителя и получателя). Однако эти услуги касаются отправителя и получателя сообщения, но не касаются провайдера услуг передачи электронной почты.
Для обеспечения
основынх сервисов безопасности в рамках
RFC 822 (для чисто текстовых
Для обеспечения сервисов безопасности расширенных форматов почтовых сообщений (MIME - Multupurpose Internet Mail Extension) разработаны стандарты Интернет RFC 1847и RFC 1848, которые определяют типы и форматы защищенных обьектов почтовых сообщений MIME Object Security Service (MOSS).
Недавно разработан
и находит широкое
В Интернет широко применяется система обработки сообщений в соответствии со стандартами ITU-T группы Х.400, которые определяют протоколы и сервисы обработки почтовых сообщений в открытых системах передачи данных. Станадарты Х.400, Х.402, Х.411 наиболее полно определяют сервисы безопасности для обработки почтовых сообщений как при передаче (включая учет последовательности поступления сообщений), так и при их хранении: конфиденциальность, целостность, аутентификацию происхождения данных и станции отправителя, причастность (для отправителя и получателя), а также использование меток и контекста безопасности.
В общем, архитектура безопасности Интернет должна позволять использовать как механизиы безопасности собственно Интернет (PEM, MOSS, PGP), так и соответствующие механизмы Х.400.
5.2.2. Служба директорий
В Интернет используется две службы директорий DNS (Domain Name System - система доменных имен) и Х.500. Сервисы безопасности и необходимые протоколы хорошо определены для Х.500. Так, широкое применение находит система распределения и сертификации открытых ключей Х.509. Однако нет хорошо разработанной концепции и специальных механизмов безопасности для DNS (RFC 1535).
Необходимыми сервисами безопасности для службы директорий являются аутентификаци происхождения данных и целостность данных для запросов и ответов. Контроль доступа необходим для защиты хранимых в директории данных от модификации и раскрытия неавторизованными пользователями.
Общей рекомендацией может быть использование в Интернет для защиты директорий средств Х.500 на прикладном уровне и соответствующих протоколов более низких уровней. Попытки реализовать необходимые сервисы безопасности для DNS посредством сервисов и механизмов более низких уровней не дает достаточной защищенности.
5.2.3. Управление сетями
Управление сетями в Интернет обеспечивается при помощи протокола SNMP (Simple Network Management Protocol). Ряд стандартов Интернет RFC 1352, 1446, 1472, 1910 определяют основные сервисы и механизмы безопасности при передаче управляющей информации, доступе к базам данных управляющей информации и управляющим обьектам.
Сервисы безопасности для SNMP определяются для прикладного уровня: конфиденциальность и целостность без установления соединения, аутентификация происхождения данных и контроль доступа.
В последнее время отдельные приложения в Интернет частично ориентиуются на использование протоколов управления телекоммуникационными сетями передачи данных X.700, которые имеют хорошо определенные сервисы и механизмы обеспечения безопасности.
5.2.4.
Виртуальный терминал и
Функции виртуального терминала (или удаленного доступа) обеспечивается протоколом Telnet. Передача файлов поддерживается протоколами FTP (File Transfer Protocol) и FTAM (File Transfer, Access and Management). Необходимые сервисы безопасности для обоих протоколов включают конфиденциальность и целостность для коммуникаций с установлением соединений, аутентификацию субьектов коммуникаций и контроль доступа на основе идентификации субьекта коммуникаций. Эти сервисы могут быть полностью обеспечены на прикладном уровне, однако целесообразно использовать некоторые механизмы на более низких уровнях, в частности, используя специальные защищенные протоколы сетевого и транспортного уровней NLSP (Network Level Security Protocol), SSL (Secure Socket Level) и TLSP (Transport Level Security Protocol). При этом устраняется дублирование сервисов на более высоких уровнях, однако в возникает необходимость введения новых программных модулей в ядро ОС.
5.2.5. Междоменная и внутридоменная маршрутизация
Для междоменной маршрутизации используются протоколы BGP (Border Gateway Protocol), IDRP (ISO 10747. IS-IS Inter-Domain Routing Protocol). Междоменная маршрутизация обеспечивается протоколами RIP (Routing Information Protocol), OSPF (Open Shortest Path First), IS-IS (ISO 10589. Intermediate System to Intermediate System Intradomain Routing Exchange Protocol). При работе эти протоколы обмениваются служебной и управляющей информацией, которая определяет надежное функционирование сложной сетевой ифраструктуры. Общими требованиями безопасности для протоколов маршрутизации являются обеспечение аутентификации субьектов коммуникаций и целостности для коммуникаций без установления соединений. Дополнительно могут использоваться сервисы конфиденциальности и контроля доступа.

- Архитектурное благоустройство территорий
- Архитектурно – конструктивный раздел
- Архитектурно-планировочные решения гостинично-турстских комплексов
- Архитектурно-строительное проектирование
- Архитектурные конструкции зданий и сооружений
- Архитектурные модели
- Архитектурные памятники Беларуси
- Архитектура Хабаровска
- Архитектура эвм
- Архитектура ЭВМ
- Архитектура ЭВМ
- Архитектура ЭВМ
- Архитектура ЭВМ, ее составные части и выполняемые функции
- Архитектура эпохи Возрождения в Испании