Чунарьова А.В., к.т.н., Ярмак О.М.
Національний авіаційний університет, м.Київ
АНАЛІЗ
СУЧАСНИХ ПРОТОКОЛІВ АВТЕНТИФІКАЦІЇ В
ІНФОРМАЦІЙНИХ МЕРЕЖАХ
Актуальність. Процес реєстрації
користувачів в сучасних інформаційних мережах складається з процесу ідентифікації,
автентифікації та авторизації. Провідну роль в цій трійці займає саме
автентифікація та включає в себе процедуру перевірки достовірності. В захищених
мережах до автентифікації ставляться більші вимоги. За це відповідає ряд
протоколів, серед яких SSL, TLS, SSH, SHTTP, SOCS та сімейство протоколів
IPsec.
Мета. Провести аналіз
ефективності використання протоколів автентифікації в захищених мережах.
Протокол SSL. Протокол розроблений
компанією Netscape Communications, протокол SSL забезпечує надійний та захищений
обмін інформацією між клієнтом та сервером. Найчастіше в якості протоколу
транспортного рівня використовують TCP.
SSL
підтримує шифрування даних, автентифікацію серверів, цілісність повідомлень і
(в якості опції) автентифікацію клієнтів в каналі TCP/IP. Протокол SSL в
основному застосовується в рамках HTTP. Використовуючи SSL, сервер та клієнт
можуть автентифікувати один одного перед початком обміну, узгодити протокол
шифрування та сформувати спільні криптографічні ключі. Для цього використовуються
двоключові криптосистеми, такі як RSA.
В
нових версіях протоколу вразливостей не було виявлено. Єдиною масштабною
вразливістю була вразливість, яка була присутня у версії TLS 1.0 та нижче, коли
зловмисники отримали доступ до поштових сервісів багатьох компаній. [1,3]
Протокол TLS. Протокол TLS (Transport
Layer Seфcurity Protocol) був розроблений тією ж Netscape та призначений для
забезпечення безпеки на рівні передачі даних. В основу TLS був покладений SSL
версії 3.0. Протокол TLS складається з двох рівнів: TLS Record Protocol
(протокол записів) і TLS Handshake Protocol (протокол встановлення зв'язку).
TLS Record Protocol діє поверх TCP та UDP та виконує наступні функції:
симетричне шифрування; передача повідомлень; виступає в якості оболонки для
протоколів більш високого рівня. Прикладом такого протоколу може служити TLS
Handshake Protocol, який дозволяє серверу та клієнту ідентифікувати один
одного, вибрати алгоритм шифрування і використовувані ключі до того, як почнуть
передаватися дані.
TLS Handshake Protocol захищає з'єднання, забезпечуючи наступні три
функції: ідентифікація іншої сторони за допомогою шифрування з відкритим ключем
(наприклад, RSA, DSS та ін.); секретний ключ стає недоступним для перехоплення;
механізми виявлення зловмисника при спробі модифікувати дані [1].
Протокол SSH. Протокол Secure Shell (SSH)
працює на прикладному рівні і дозволяє організувати віддалений доступ до
операційної системи та тунелювання TCP-з'єднань. До його основних переваг можна
віднести підтримку безпечного віддаленого входу до мережі, безпечну передачу
файлів та повідомлень по протоколах TCP/IP та X11, підтримку автоматичного
шифрування передаваємих даних, їх автентифікації та стиснення. Протокол SSH
складається з трьох основних компонентів: протокол транспортного рівня;
протокол автентифікації користувача; протокол з'єднання. Шифрування повідомлень
виконується за допомогою IDEA, 3DES, DES, RC4, Blowfish та ін. Обмін ключами
відбувається за допомогою RSA. Дозволяє створити захищений тунель для TCP/IP додатків,
рівень безпеки не є видимим для користувача, що забезпечує гарантії того, що
користувач випадковим чином не змінить налаштувань [1,3].
Протокол SHTTP. S- HTTP представляє собою
безпечний протокол зв'язку, орієнтований на повідомлення і розроблений для
використання в поєднанні з HTTP. Він призначений для спільної роботи з моделлю
повідомлень HTTP і легкої інтеграції з додатками HTTP. Цей протокол надає
клієнту і серверу однакові можливості (він однаково ставиться до їхніх запитів
та відповідей).
При
цьому зберігається модель транзакцій і експлуатаційні характеристики HTTP.
Клієнти і сервери S-HTTP допускають використання декількох стандартних форматів
криптографічних повідомлень. Клієнти, що підтримують S-HTTP, можуть
встановлювати зв'язок з серверами S-HTTP, і навпаки, ці сервери можуть
зв'язуватися з клієнтами S-HTTP, хоча в процесі подібних транзакцій функції
безпеки S-HTTP швидше за все не будуть використані. S-HTTP не вимагає від
клієнта сертифікатів відкритих ключів (або самих відкритих ключів), тому що цей
протокол підтримує тільки операції з симетричними ключами шифрування. Хоча
S-HTTP може користуватися перевагами глобальних сертифікаційних інфраструктур,
для його роботи такі структури не обов'язкові.
Протокол
S-HTTP підтримує безпечні наскрізні (end-to-end) транзакції, що вигідно
відрізняє його від базових механізмів автентифікації HTTP. S- HTTP підтримує
високий рівень гнучкості криптографічних алгоритмів, режимів і параметрів. Для
того щоб клієнти і сервери змогли вибрати єдиний режим транзакції,
використовується механізм узгодження опцій, криптографічних алгоритмів (RSA або
DSA для підпису, DES або RC2 для шифрування і т. д.), і вибору. S- HTTP
підтримує криптографію загальних ключів, функцію цифрового підпису та
забезпечує конфіденційність даних. Протокол S-HTTP не отримав широкого
розповсюдження [1].
Протокол SOCKS. SOCKS розроблений для того,
щоб дати можливість додаткам клієнт/сервер в доменах TCP і UDP зручно і
безпечно користуватися послугами брандмауера. Він дає користувачам можливість
долати міжмережевий екран організації та отримувати доступ до ресурсів,
розташованим в Інтернеті. SOCKS служить «посередником рівня додатків»: він
взаємодіє з загальними мережевими засобами (наприклад, Telnet і браузер
Netscape) і за допомогою центрального сервера (проксі-сервера) від імені
комп'ютера користувача встановлює зв'язок з іншими центральними комп'ютерами.
SOCKS
версії 4 вирішує питання незахищеного перетину міжмережевих екранів додатками
клієнт /сервер, основаними на протоколі TCP, включаючи Telnet, FTP і поширені
інформаційні протоколи, наприклад HTTP, Wide Area Information Server (WAIS) і
GOPHER. SOCKS версії 5, RFC 1928, є подальшим розширенням четвертої версії
SOCKS. Крім того, SOCKS 5 включає ці процедури в свою загальну бібліотеку: на
деяких системах (наприклад, на машинах Solaris) можна автоматично
SOCKS-інфікувати додаток, поставивши загальну бібліотеку SOCKS перед «shared
libc» у рядку пошуку бібліотек (змінна середовища LD LIBRARY PATH в системах
Solaris) [1,2].
Протокол IPsec. IP Security - це набір
протоколів, що стосуються питань шифрування, автентифікації і забезпечення
захисту при транспортуванні IP-пакетів, в її склад зараз входять майже 20
пропозицій за стандартами і 18 RFC. Найпоширенішими з них є RFC 2401- RFC 2412
IPSec
являє собою набір протоколів і алгоритмів захисту, які спираються на
вищеописані стандарти. Технологія IPSec і пов'язані з нею протоколи захисту
відповідають відкритим стандартам, які підтримуються групою IETF (Internet
Engineering Task Force - проблемна група проектування Internet) і описані в
специфікаціях RFC і проектах IETF.
IPSec
пропонує стандартний спосіб автентифікації і шифрування з'єднань між
сполученими сторонами. Для забезпечення функцій в IPSec було запропоновано
використовувати групу протоколів IKE (Internet Key Exchange). За забезпечення
розподілу ключів їх узгодження відповідають, зокрема два протоколи - ISAKMP та
Oakley [1].
Висновки
В роботі розглянуто
шість протоколів, які використовуються як для самого процесу автентифікації,
так і для підвищення рівня її надійності. Кожна інформаційна структура, в
мережі якої циркулює інформація певного рівня конфіденційності і яка вимагає
введення процедури автентифікації, повинна сама вирішувати які протоколи для
цього використовувати, в залежності від поставлених завдань. Безперечно –
використання вищеописаних протоколів має як свої переваги так і недоліки, на
які слід першочергово звертати увагу. З огляду на аналіз всіх цих протоколів
можна стверджувати, що найбільш доцільним буде використання в мережі саме стеку
протоколів IPsec.
Список використаних джерел
1.
А.А.Афанасьев. Аутентификация. Теория и практика обеспечения безопасного
доступа к информационным ресурсам. Учебное пособие для вузов / А.А.Афанасьев, Л.Т.Веденьев, А.А.Воронцов и др. – М.:
Горячая линия –Телеком, 2009. – 552 с.
2. А.А.Гладких. Базовые
принципы информационной безопасности вычислительных систем.
Учебное пособие для студентов, обучающихся по специальностям / А.А. Гладких,
В.Е.Дементьев; - Ульяновск: УлГТУ, 2009. – 168 с.
3. Bryan Sullivan
Web Applications Security / Bryan Sullivan, Vincent Liu – NY: The McGraw-Hill,
2009. – 350 p.