Захист на транспортному рівні

Для захисту на транспортному рівні застосовуються протоколи TLS і SSL Особливістю захисту на даному рівні є незалежність від при-прикладного рівня, однак найчастіше технологія застосовується для захисту дан-них, переданих по протоколу HTTP (режим HTTPS)

Докладніше розглянемо функціонування протоколу SSL Протокол часто застосовується для установки захищеного зєднання, коли пользова-тель, який звернувся до web-серверу, передає або отримує конфіденційні відомості, наприклад про обсяг та вартість покупки в Інтернет-магазині, чи-бо отримує статистику своїх зєднань у Інтернет-провайдера У цьому випадку web-клієнт, наприклад Internet Explorer, автоматично переходить в за захищеності режим, про що свідчить піктограма «замок» у правій нижній частині вікна

Рис 537 Мережевий пакет з сертифікатом відкритого ключа сервера

Протокол SSL передбачає функції аутентифікації, шифрування даних і забезпечення цілісності даних Аутентифікація здійснюється шляхом обміну цифровими сертифікатами при встановленні зєднання (сес- оці) Так як web-сервер зазвичай приймає запити від довільних клиен-

тов, то найчастіше аутентифицирующей тільки сервер Для шифрування дан-них застосовується стандартний для VPN-зєднань підхід: для шифрування даних застосовується симетричний сеансовий ключ Обмін симетричними сеансовими ключами відбувається при встановленні зєднання, при передачі сеансові ключі шифруються за допомогою відкритих ключів Для забезпечення цілісності до повідомлення додається його хеш-код

Розглянемо етапи установки SSL-зєднання Спочатку встановлюється стандартне TCP-зєднання з портом сервера 443 Далі клієнт передає з-спілкування «Client-Hello», в якому повідомляє підтримувану ним версію

протоколу SSL і випадкову послідовність «Challenge_Data» У відповідь сервер передає повідомлення «Server-Hello», в якому вказує версію SSL, ідентифікатор зєднання «Connection_id», список базових шифрів (прото-

колов) і сертифікат сервера (підписаний відкритий ключ)

Мета наступного повідомлення, що відправляється клієнтом (повідомлення

«Client_Master_Key»), – передача симетричного сеансового ключа, зашіф-

рованного відкритим ключем сервера Таким чином, тільки сервер може розшифрувати переданий симетричний ключ

Рис 538 Зашифрований HTTP-трафік

Отримавши ключ, сервер зашифровує цим ключем відправлену ра-

неї послідовність «Challenge_Data» і передає її в повідомленні «Server-

Verify » Отримавши і розшифрувавши дане повідомлення, клієнт впевнений, що Сеан-совий ключ отриманий і розшифрований сервером правильно Для того щоб сервер також міг переконатися в правильності отриманого ним сеансового клю-ча, клієнт зашифровує цим ключем ідентифікатор зєднання

«Connection_id», отриманий від сервера, і передає його в повідомленні «Client-Finished»

Таким чином, зєднання встановлено, сервер перевірений, сеансовий ключ переданий Тепер весь трафік може передаватися в зашифрованому ви-де Для зовнішнього спостерігача видно трафік, що йде по 443 TCP-порту ме-

чекаю двома вузлами з відомими IP-адресами

Припустимо, нам необхідно організувати захищений обмін ін-формацією між web-сервером і довільним клієнтом Для організації скористаємося ОС Windows Server 2003, як web-сервера будемо ис- пользовать вбудований в ОС компонент IIS (Internet Information Services)

Поставлена ​​задача розбивається на три етапи: активізація IIS, генера-

ція сертифіката відкритого ключа для web-півночі і настройка SSL-

зєднання

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*