|
Защита коммуникаций подразумивает наличие защищенных, безопасных соединений типа клиент-клиент или клиент-сервер. Аутентификацию и защиту данных при связи через публичные сети помогают обеспечить такие протоколы, как Secure Sockets Layer (SSL), Transport Layer Security (TLS), Private Communication Technology (PCT) 1.0.
После того, как клиента установии защищенное соединение, они договариваются о том, какие криптографические алгоритмы будут использоваться в сеансе связи (RSA – при обмене ключами, RC4 – для шифрования данных, SHA и MD5 – для хеширования). Далее пользователи взаимно аутентифицируют друг друга с помощью сертификатов и генерируют ключи для шифрования и хеширования.
Защищенное соединение клиент-сервер реализуется средствами протоколов SSL/TLS. Последовательность алгоритма взаимодействия клиента с сервером имеет следующий вид:
- Клиент посылает на сервер сообщение «ClientHello»
- Сервер отвечает клиенту откликом «ServerHello» и передает клиенту свой сертификат с открытым ключем
- Клиент зашифровывает данные необходимые для передачи открытым ключем и отправляет на сервер
- Сервер при получении зашифрованных данных расшифровывает их при помощи своего закрытого ключа
Протоколы SSL/TLS являются протоколами уровля «Приложений» (согласно семиуровневой модели ISO/OSI), из чего следует, что приложения используемые для отправки зашифрованных данных должны поддерживать работу данных протоколов.
Для удаленного доступа или связи клиент-клиент используется pащищенное подключение по протоколу Point-to-Point Protocol (PPP), который имеет два уровня аутентификации: аутентификация средствами PPP и аутентификация в домене.
Аутентификация PPP предолагает наличие следующих протоколов:
- PAP, SPAP (Password Authentication Protocol — протокол проверки подлинности, осуществляющий отправку имени пользователя и пароля на сервер открытым текстом)
- CHAP (Challenge Handshake Authentication Protocol — распространённый алгоритм проверки подлинности, передающий не сам пароль пользователя, а косвенных сведений о нём)
- MS-CHAP v1, MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol - продукт корпорации Майкрософт, выполняющий проверку подлинности удаленных рабочих станций, поддерживает функциональные возможности пользователей локальных сетей с интегрируемыми алгоритмами шифрования и хеширования, действующих в сетях Windows)
- EAP-TLS, EAP-MD5 (Extensible Authentication Protocol - расширяемая инфраструктура аутентифкации, определяющая формат посылки, описаной документом RFC 3748; всего сущесвует порядка 40 типов EAP; для беспроводных сетей актуальны EAP-TLS, EAP-SIM, EAP-AKA, PEAP, LEAP и EAP-TTLS)
Так же используется сервис Интернет аутентификации (Internet Authentication Service) – RADIUS (Remote Authentication in Dial-In User Service – это протокол разработан для передачи сведений между центральной платформой аутентификации, оборудованием Dial-Up доступа и системой тарификации использованных ресурсов конкретным пользователем) и шифрование средствами Microsoft Point-to-Point Encryption (MPPE - протокол шифрования данных, используемый поверх соединений PPP, использующий алгоритм RSA RC4 и поддерживающий 40-, 56- и 128-битные ключи, меняющиеся в течение сессии).
Кроме этого для передачи защищаемых данных используются виртуальные частные сети (VPN). VPN – это защищенное подключение клиента к серверу удаленного доступа через виртуальный туннель, созданный в открытой сети. Данные инкапсулируются и шифруются.
Для подключения клиент-сервер используется протокол PPTP (Point-to-point tunneling protocol - туннельный протокол типа точка-точка, устанавливающий между компьютерами защищённое соединение за счёт создания специального туннеля в незащищённой сети). Для шифрования данных использует модифицированный протокол MPPE.
Для подключения типом точка-точка локальных сетей, используют протокол L2TP (Layer 2 Tunneling Protocol - протокол туннелирования канального уровня, являющийся совокупностью протокола L2F (layer 2 Forwarding) и протокола PPTP). Использует аутентификацию и шифрование.
|
