Андрончик А.Н., Богданов В.В., Домуховский Н.А. Защита информации в компьютерных сетях. Практический курс
Подождите немного. Документ загружается.
131
вателя системы StrongNet есть набор ключей, в который входит его личный
ключ и открытые ключи других пользователей системы, с которыми он обме-
нивается данными через защищенные каналы. Набор ключей может храниться
в файле либо на электронном ключе.
Программа «StrongNet Центр генерации ключей» предназначена для
создания базы данных ключей, составления из них наборов, записываемых в
файл или на электронный ключ, и распределения этих наборов между пользо-
вателями системы. Генерация ключей происходит один раз при создании базы
данных.
5.9.2. Постановка задачи
Пусть существует некая организация, в которой в удаленных друг от
друга офисах работают два пользователя. Требуется с использованием техно-
логии виртуальных машин создать структуру сети, состоящую из двух вирту-
альных узлов, и установить защищенное соединение (
рис. 5.31). Основная ОС
имитирует работу компьютера стороннего наблюдателя и используется для
анализа сетевого трафика.
VM 1 VM 2
StrongNet 1 StrongNet 2
192.168.75.11 192.168.75.12
VMWare Network Adapter
Рис. 5.31. Схема соединения виртуальных узлов
ВЫПОЛНИТЬ!
1. На рабочем месте открыть два образа ОС Windows 2000. Для каждого об-
раза на вкладке Edit выбрать меню «Virtual Machine Settings» и установить
размер потребляемой памяти (Guest size) — 64 MB, а тип сетевого подклю-
чения — «VMNet1 (Host Only)». Для обоих образов настроить виртуальные
дисководы на единый файл. Запустить виртуальные ОС.
2. Настроить IP-адреса виртуальных машин (например, для первой ОС —
192.168.75.11, для второй ОС — 192.168.75.12). С помощью программ
ipconfig и ping убедиться в правильной настройке сетевых адресов.
132
3. Осуществить захват трафика в основной ОС, убедиться в возможности
анализа передаваемых ICMP-пакетов.
4. Установить систему StrongNet в обе виртуальные ОС, следуя указаниям ус-
тановочной программы.
5.9.3. Генерация и распространение ключевой информации
Для успешной работы системы StrongNet необходимо создать базу дан-
ных ключей. Дистрибутив ключей для каждого сетевого узла размещен в фай-
ле с расширением «DST». Исходные ключи зашифрованы на парольной фразе
и потому недоступны третьим лицам непосредственно из DST-файла. Чтобы
создать базу данных ключей нужно запустить программу «Центр генерации
ключей».
ВЫПОЛНИТЬ!
5. На одной из систем запустить программу «StrongNet Центр генерации
ключей». В меню «Действие» выбрать пункт «Создать БД ключей». В поя-
вившемся окне установить количество генерируемых ключей — 2. Сохра-
нить базу данных ключей.
6. Сгенерировать ключи для двух пользователей с учетом их дальнейшего
взаимодействия. Для этого в правой части главного окна дважды щелкнуть
левой кнопкой мыши на элементе «Пользователь 1». В появившемся окне
«Создание КК» ввести имя, в списке «Все» выбрать Пользователь 2 и на-
жать кнопку « >> ». Нажать кнопку «Далее». В появившемся диалоговом
окне «Запись КК» выбрать тип внешнего ключа — «Файл». Указать путь и
имя файла, в котором будет храниться созданный набор ключей для Поль-
зователя 1 и открытый ключ Пользователя 2. Аналогичные действия про-
извести для Пользователя 2.
7. После завершения работы мастера скопировать набор ключей Пользовате-
ля 2 на дискету (виртуальную дискету).
5.9.4. Настройка СЗИ StrongNet
ВЫПОЛНИТЬ!
8. В одной из виртуальных систем открыть главное окно программы
StrongNet и нажать кнопку «Развернуть» (
рис. 5.32).
9. На вкладке «Ключи» (
рис. 5.33) выбрать тип внешнего ключа – файл. Ука-
зать файл с набором ключей Пользователя 2 и нажать кнопку «Загрузить».
Переключатель «Загружать ключи при старте» поставить в состояние
«Включено».
10. Во второй ОС аналогично загрузить набор ключей Пользователя 2, сохра-
ненный на дискете.
133
Рис. 5.32. Главное окно программы «StrongNet»
11. Используя вкладку «Настройки» (рис. 5.34) сделать так, чтобы сеансовый
ключ в процессе работы защищенного соединения периодически менялся.
Он может меняться по истечении некоторого промежутка времени, для
этого переключатель «Генерировать ключ каждые» устанавливается во
включенное состояние и в поле «Секунды» указывается длина соответст-
вующего временного интервала. Чтобы защищенное соединение периоди-
чески проверялось на предмет активности, переключатель «Подтверждать
соединение» устанавливается во включенное состояние и в поле «Секун-
ды» указывается длина периода в секундах. Для вступления в силу сделан-
ных изменений нажать кнопку «Применить».
Рис. 5.33. Загрузка ключевой информации
Рис. 5.34. Настройка параметров обновления
ключевой информации
134
5.9.5. Установка защищенного соединения
ВЫПОЛНИТЬ!
12. Создать и проверить соединение между виртуальными ОС. Для этого на
вкладке «Соединение» (
рис. 5.35) одного из узлов указать IP-адрес второго
узла и нажать кнопку «Подключить».
13. Убедиться в том, что соединение установлено. Для этого зайти на вкладку
«Сессии» (
рис. 5.36), подвести указатель мыши к соединению в списке, в
контекстном меню выбрать пункт «Информация о соединении». Просмот-
реть информацию об установленном соединении.
14. Осуществить захват трафика в основной ОС, убедиться в том, что трафик
является защищенным, проанализировать его тип.
Рис. 5.35. Настройка параметров соединения
Рис. 5.36. Проверка информации о соединении
135
5.10. Защита на транспортном уровне
Для защиты на транспортном уровне применяются протоколы TLS и
SSL. Особенностью защиты на данном уровне является независимость от при-
кладного уровня, однако чаще всего технология применяется для защиты дан-
ных, передаваемых по протоколу HTTP (режим HTTPS).
Подробнее рассмотрим функционирование протокола SSL. Протокол
часто применяется для установки защищенного соединения, когда пользова-
тель, обратившийся к web-серверу, передает или получает конфиденциальные
сведения, например об объеме и стоимости покупки в Интернет-магазине, ли-
бо получает статистику своих соединений у Интернет-провайдера. В этом
случае web-клиент, например Internet Explorer, автоматически переходит в за-
щищенный режим, о чем свидетельствует пиктограмма «замок» в правой ниж-
ней части окна.
Рис. 5.37. Сетевой пакет с сертификатом открытого ключа сервера
Протокол SSL предусматривает функции аутентификации, шифрования
данных и обеспечения целостности данных. Аутентификация осуществляется
путем обмена цифровыми сертификатами при установлении соединения (сес-
сии). Так как web-сервер обычно принимает запросы от произвольных клиен-
136
тов, то чаще всего аутентифицируется только сервер. Для шифрования дан-
ных применяется стандартный для VPN-соединений подход: для шифрования
данных применяется симметричный сеансовый ключ. Обмен симметричными
сеансовыми ключами происходит при установлении соединения, при передаче
сеансовые ключи шифруются с помощью открытых ключей. Для обеспечения
целостности к сообщению добавляется его хэш-код.
Рассмотрим этапы установки SSL-соединения. Сначала устанавливается
стандартное TCP-соединение с портом сервера 443. Далее клиент передает со-
общение «Client-Hello», в котором сообщает поддерживаемую им версию
протокола SSL и случайную последовательность «Challenge_Data». В ответ
сервер передает сообщение «Server-Hello», в котором указывает версию SSL,
идентификатор соединения «Connection_id», список базовых шифров (прото-
колов) и сертификат сервера (подписанный открытый ключ).
Цель следующего сообщения, отправляемого клиентом (сообщение
«Client_Master_Key»), — передача симметричного сеансового ключа, зашиф-
рованного открытым ключом сервера. Таким образом, только сервер может
расшифровать переданный симметричный ключ.
Рис. 5.38. Зашифрованный HTTP-трафик
Получив ключ, сервер зашифровывает этим ключом отправленную ра-
нее последовательность «Challenge_Data» и передает ее в сообщении «Server-
137
Verify». Получив и расшифровав данное сообщение, клиент уверен, что сеан-
совый ключ получен и расшифрован сервером правильно. Для того чтобы
сервер также мог убедиться в правильности полученного им сеансового клю-
ча, клиент зашифровывает этим ключом идентификатор соединения
«Connection_id», полученный от сервера, и передает его в сообщении «Client-
Finished».
Таким образом, соединение установлено, сервер проверен, сеансовый
ключ передан. Теперь весь трафик может передаваться в зашифрованном ви-
де. Для внешнего наблюдателя виден трафик, идущий по 443 TCP-порту ме-
жду двумя узлами с известными IP-адресами.
5.11. Организация VPN средствами протокола SSL в Windows
Server 2003
Предположим, нам необходимо организовать защищенный обмен ин-
формацией между web-сервером и произвольным клиентом. Для организации
воспользуемся ОС Windows Server 2003, в качестве web-сервера будем ис-
пользовать встроенный в ОС компонент IIS (Internet Information Services).
Поставленная задача разбивается на три этапа: активизация IIS, генера-
ция сертификата открытого ключа для web-севера и настройка SSL-
соединения.
5.11.1. Активизация IIS
Компонент IIS по умолчанию в ОС Windows Server 2003 не установлен,
целью данного этапа является его установка и проверка его функционирова-
ния с автоматически генерируемой web-страницей.
ВЫПОЛНИТЬ!
1. Установить компонент Internet Information Services (Control Panel
⇒
Ad-
ministrative Tools
⇒
Manage Your Server).
В открывшемся диалоговом окне необходимо выбрать пункт «Add or
remove a role», после чего ОС автоматически определит текущие сетевые на-
стройки и отобразит диалоговое окно со списком возможных задач, выпол-
няемых сервером (
рис. 5.39). В этом списке необходимо выбрать пункт
«Application servers (IIS, ASP.NET)». Установка дополнительных компонентов
сервера FrontPage Extensions и ASP.NET не является обязательной, поэтому
может быть пропущена. В результате указанных действий будут установлены
компоненты, необходимые, в том числе для запуска web-сервера. Процесс ус-
тановки может занять несколько минут, и для его успешного завершения по-
надобится дистрибутив Windows Server 2003.
138
Рис. 5.39. Выбор пункта «Application servers (IIS, ASP.NET)»
Рис. 5.40. Отображение web-страницы при обращении к серверу
139
После установки и перезагрузки web-сервер IIS автоматически запуска-
ется, в качестве стартовой используется автоматически генерируемая web-
страница (
рис. 5.40). Отображение этой страницы при обращении к серверу
по его IP-адресу с указанием протокола HTTP говорит о том, что сервер отве-
чает на HTTP-запросы клиента (программы Internet Explorer). В результате
выполнения данного этапа мы получили функционирующий web-сервер под
управлением IIS.
ВЫПОЛНИТЬ!
2. Запустить анализатор сетевого трафика и просмотреть содержимое переда-
ваемой между клиентом и сервером информации. Убедиться, что HTTP-
запрос и HTTP-ответ передаются в открытом виде.
5.11.2. Генерация сертификата открытого ключа для web-сервера
Как указывалось выше, для шифрования передаваемой информации
клиент и сервер должны получить общий ключ симметричного шифрования.
В протоколе транспортного уровня данный ключ генерирует клиент и отправ-
ляет серверу. Однако для отправки ключа клиент применяет его зашифрова-
ние с использованием открытого ключа сервера, который должен быть извес-
тен клиенту. Для передачи открытого ключа применяется механизм сертифи-
катов, цель которого обеспечить подлинность передаваемого открытого клю-
ча. Таким образом, сервер должен иметь сертификат своего открытого ключа,
который в общем случае должен быть подписан одним из доверенных центров
сертификации.
В связи с тем, что мы организуем VPN-соединение в локальной сети
учебного компьютерного класса, то в процессе работы самостоятельно сгене-
рируем сертификат открытого ключа и создадим его ЭЦП. Для этой цели нам
понадобится Центр сертификации, для работы с которым необходимо доба-
вить компонент Certificate Services (Службы сертификации). В процессе уста-
новки необходимо будет указать имя Центра сертификации (например,
«Mycompany»), остальные настройки можно оставить по умолчанию.
После установки Центра сертификации необходимо от имени web-
сервера выполнить запрос на получение нового сертификата.
ВЫПОЛНИТЬ!
3. Установить компонент Certificate Services (Control Panel
⇒
Add or Remove
Programs
⇒
Add/Remove Windows Components, рис. 5.41).
4. Запустить оснастку Internet Information Services (IIS) Manager (Control
Panel
⇒
Administrative Tools
⇒
Internet Information Services (IIS) Man-
ager).
140
5. В разделе «Web Sites» (рис. 5.42) выбрать компонент «Default Web Site»,
щелкнуть на нем правой кнопкой и выбрать пункт «Properties» в контекст-
ном меню. Далее выбрать вкладку «Directory Security» и нажать кнопку
«Server Certificate…» в открывшемся окне (
рис. 5.43).
Рис. 5.41. Выбор компонента Certificate Services
Рис. 5.42. Оснастка Internet Information Services (IIS) Manager