Рассылка закрыта
При закрытии подписчики были переданы в рассылку "Безопасность компьютерных сетей и защита информации" на которую и рекомендуем вам подписаться.
Вы можете найти рассылки сходной тематики в Каталоге рассылок.
Защита информации, виртуальные сети VPN. Технология ViPNet. #59 от 01.03.2002
Защита информации, виртуальные частные сети (VPN). Технология ViPNet. |
||
|
||
|
||
Содержание выпуска: | ||
|
||
"Выбираем протокол VPN" (окончание) | ||
Главное достоинство L2TP в том, что этот протокол позволяет создавать туннель не только в сетях IP, но и в таких, как ATM, X.25 и frame relay. К сожалению, реализация L2TP в Windows 2000 поддерживает только IP. L2TP применяет в качестве транспорта протокол UDP и использует одинаковый формат сообщений как для управления туннелем, так и для пересылки данных. L2TP в реализации Microsoft использует в качестве контрольных сообщений пакеты UDP, содержащие шифрованные пакеты PPP. Надежность доставки гарантирует контроль последовательности пакетов. Сообщения L2TP имеют поля Next-Received и Next-Sent. Эти поля выполняют те же функции, что и поля Acknowledgement Number и Sequence Number в протоколе TCP. Как и в случае с PPTP, L2TP начинает сборку пакета для передачи в туннель с того, что к полю информационных данных PPP добавляется сначала заголовок PPP, затем заголовок L2TP. Полученный таким образом пакет инкапсулируется UDP. Протокол L2TP использует UDP-порт 1701 в качестве порта отправителя и получателя. В зависимости от выбранного типа политики безопасности IPSec, L2TP может шифровать UDP-сообщения и добавлять к ним заголовок и окончание Encapsulating Security Payload (ESP), а также окончание IPSec Authentication. Затем производится инкапсуляция в IP. Добавляется IP-заголовок, содержащий адреса отправителя и получателя. В завершение L2TP выполняет вторую PPP-инкапсуляцию для подготовки данных к передаче. На Pисунке 2 показана структура данных для пересылки по туннелю L2TP.
Компьютер-получатель принимает данные, обрабатывает заголовок и окончание PPP, убирает заголовок IP. При помощи IPSec Authentication проводится аутентификация информационного поля IP, а ESP-заголовок IPSec помогает расшифровать пакет. Далее компьютер обрабатывает заголовок UDP и использует заголовок L2TP для идентификации туннеля. Пакет PPP теперь содержит только полезные данные, которые обрабатываются или пересылаются указанному получателю.
Для аутентификации пользователей PPTP может задействовать любой из протоколов, применяемых для PPP, включая Extensible Authentication Protocol (EAP), Microsoft Challenge Handshake Authentication Protocol (MSCHAP) версии 1 и 2, Challenge Handshake Authentication Protocol (CHAP), Shiva Password Authentication Protocol (SPAP) и Password Authentication Protocol (PAP). Лучшими считаются протоколы MSCHAP версии 2 и Transport Layer Security (EAP-TLS), поскольку они обеспечивают взаимную аутентификацию, т. е. VPN-сервер и клиент идентифицируют друг друга. Во всех остальных протоколах только сервер проводит аутентификацию клиентов. Шифрование с помощью PPTP гарантирует, что никто не сможет получить доступ к данным при пересылке через Internet. Протокол шифрования MPPE (Microsoft Point-to-Point Encryption) совместим только с MSCHAP (версии 1 и 2) и EAP-TLS и умеет автоматически выбирать длину ключа шифрования при согласовании параметров между клиентом и сервером. MPPE поддерживает работу с ключами длиной 40, 56 или 128 бит. Старые операционные системы Windows поддерживают шифрование с длиной ключа только 40 бит, поэтому в смешанной среде Windows следует выбирать минимальную длину ключа. PPTP изменяет значение ключа шифрации после каждого принятого пакета. Протокол MMPE разрабатывался для каналов связи точка-точка, в которых пакеты передаются последовательно, и потеря данных очень мала. В этой ситуации значение ключа для очередного пакета зависит от результатов дешифрации предыдущего пакета. При построении виртуальных сетей через сети общего доступа эти условия соблюдать невозможно, так как пакеты данных часто приходят к получателю не в той последовательности, в какой были отправлены. Поэтому PPTP использует для изменения ключа шифрования порядковые номера пакетов. Это позволяет выполнять дешифрацию независимо от предыдущих принятых пакетов. Хотя PPTP обеспечивает достаточную степень безопасности, но все же L2TP поверх IPSec надежнее. L2TP поверх IPSec обеспечивает аутентификацию на уровнях "пользователь" и "компьютер", а также выполняет аутентификацию и шифрование данных. На первом этапе аутентификации клиентов и серверов VPN, L2TP поверх IPSec использует локальные сертификаты, полученные от службы сертификации. Клиент и сервер обмениваются сертификатами и создают защищенное соединение ESP SA (security association). После того как L2TP (поверх IPSec) завершает процесс аутентификации компьютера, выполняется аутентификация на уровне пользователя. Для аутентификации можно задействовать любой протокол, даже PAP, передающий имя пользователя и пароль в открытом виде. Это вполне безопасно, так как L2TP поверх IPSec шифрует всю сессию. Однако проведение аутентификации пользователя при помощи MSCHAP, применяющего различные ключи шифрования для аутентификации компьютера и пользователя, может усилить защиту. L2TP поверх IPSec обеспечивает более высокую степень защиты данных, чем PPTP, так как использует алгоритм шифрования Triple Data Encryption Standard (3DES). 3DES был разработан для защиты особо секретных данных, и его применение разрешено только в Северной Америке. Если столь высокий уровень защиты не нужен, можно использовать алгоритм DES с одним 56-разрядным ключом, что позволяет снизить расходы на шифрование (3DES использует три 56-разрядных ключа). L2TP поверх IPSec выполняет шифрование данных и аутентификацию на уровнях компьютера и пользователя. Кроме того, при помощи алгоритма Hash Message Authentication Code (HMAC) Message Digest 5 (MD5) L2TP обеспечивает аутентификацию данных. Для аутентификации данных этот алгоритм создает хеш длиной 128 разрядов.
Особенности L2TP делают его очень перспективным протоколом для построения виртуальных сетей. Очень многие IT-специалисты уже сделали выбор в пользу L2TP поверх IPSec. Разработчики Microsoft упростили установку L2TP до нескольких щелчков мышью, так почему бы не попробовать L2TP, тем более что вы уже заплатили за это при покупке лицензии на Windows 2000?
| ||
Новости и события в области защиты информации | ||
В языке CGI-программирования РНР обнаружены серьезные ошибки Эксперты по сетевой безопасности предупредили о семи опасных системных уязвимостях, обнаруженных в серверном приложении популярного языка CGI-программирования PHP. Одна из проблем связана с тем, как PHP обрабатывает POST-запросы, при помощи которых пользователи могут загружать файлы на сервер. При помощи нескольких ошибок в функции php_mime_split хакеры также могут запустить на исполнение на стороне сервера собственный программный код. Перечисленные уязвимости были обнаружены германской компании e-Matters, являющейся одной из участников команды разработчиков РНР. Таким образом, команда разработчиков РНР уже объявила о выпуске усовершенствованной версии языка, в которой устранены обнаруженные ошибки. Кроме того, особо подчеркивается, что большинство найденных уязвимостей представляют опасность только для серверов под управлением ОС Solaris от Sun Microsystems и нескольких версий Linux. Напомним, что разработка языка РНР, являющегося сегодня одним из наиболее распространенных инструментов CGI-программирования, наряду с Perl, начиналась в качестве проекта Apache Software Foundation, являющегося также разработчиком популярного веб-сервера Apache, распространяемого бесплатно и занимающего, по оценкам компании Netcraft, до 60% рынка веб-серверов. Большинство установленных серверов РНР также работают под управлением Apache, однако сам PHP поддерживается и большинством других веб-серверов, что, как можно убедиться, иногда вызывает проблемы с его безопасностью. Полный перечень уязвимостей,
обнаруженных в серверном приложении РНР компанией e-matters доступен здесь. |
||
Интернет-червь может проникать через популярные медиапроигрыватели Вместе с понравившейся песней при использовании некоторых мультимедийных проигрывателей, включая Microsoft Windows Media Player и RealNetworks RealPlayer, вы можете загрузить на свой компьютер интернет-червя. Это вызвано тем, что эти проигрыватели обладают возможностью обращаться по веб-адресам и запускать скрипты - главные составляющие вредоносных самовоспроизводящихся кодов. Ричард Смит, консультант по безопасности, отмечает, что при этом возможно включение в музыкальный файл мобильного кода, вызывающего проблемы с безопасностью, аналогичные макровирусам в Microsoft Word, или вредоносным кодам ActiveX или JavaScript в файлах HTML: как только в файле оказывается вредоносный код, начинаются проблемы. Возможность включения в мультимедийный файл вредоносных кодов привлекла внимание на этой неделе после обсуждения в списке рассылки Bugtraq security музыкального файла, который при запуске начал открывать всплывающие окна с рекламой порнографического сайта. Microsoft и RealNetworks
заявили, что они исследуют эту проблему, и советуют обеспокоенным безопасностью
пользователям загружать музыку только из надежных источников. Вероятно,
этот совет тесно взаимосвязан с организацией указанными компаниями собственных
служб распространения цифровой музыки по подписке. |
||
Обнаружена уязвимость в прокси-сервере squid для Linux Разработчик дистрибутива на базе открытой операционной системы Linux, компания Mandrake, предупреждает пользователей об обнаружении трех уязвимостей в прокси-сервере squid версий 2.4.STABLE3 и более ранних. Во-первых, в программе обнаружена утечка памяти, позволяющая провести DoS-атаку, в том случае, если в программе задействован опциональный SMNP-интерфейс. Кроме того, в программе выявлена
ошибка переполнения буфера, которая также может привести к DoS-атаке,
либо к запуску исполняемого кода на сервере. И, наконец, обнаружены неполадки
в интерфейсе HTCP программы. Дополнительную информацию и ссылки на обновленную
версию программы можно получить здесь. |
||
С точки зрения компьютерной безопасности, 2002 год будет еще хуже, чем 2001 В своем выступлении на конференции RSA 2002 основатель и исполнительный директор компании SecurityFocus Артур Вонг представил аудитории собственный взгляд на компьютерную безопасность в этом году. Как считает Вонг, в этом году положение значительно ухудшится, по сравнению с 2001 годом. Несмотря на эпидемии вирусов Code Red и Nimda, Вонг считает, что ситуация в прошлом году "могла быть и хуже". В 2001 году эксперты по безопасности
каждую неделю находили до 30 новых уявзимостей в программном обеспечении.
Вонг предсказывает, что в 2002 году данный показатель увеличится до 50
уязвимостей еженедельно. Артур Вонг привел интересную статистику за прошлый
год, согласно которой веб-сервер Microsoft IIS был атакован более 17 миллионов
раз, в то время как веб-сервер Apache - всего 12 тысяч раз. На основе
таких данных можно сделать вывод о том, что надежность Apache в 1400 раз
превышает надежность IIS. |
||
CERT: российскими программистами выявлена серьезная уязвимость MSIE Инициативная группа Computer Emergency Response Team (CERT) объявила об обнаружении очередной системной уязвимости браузера Internet Explorer. Характерной особенностью нового бага является то, что честь его выявления принадлежит не самой корпорации Microsoft, озаботившейся в минувшем феврале проблемой безопасности собственных приложений, а группой экспертов по сетевой безопасности, объединивших свои усилия в рамках сетевого проекта Security.NNov, как следует из его названия, физически размещающегося в Нижнем Новгороде. Обнаруженная системная уязвимость позволяет хакерам использовать ошибку переполнения буфера при обработке браузером встроенных (embedded) объектов в HTML-документах. Как известно, тэг EMBED используется в последних спецификациях HTML для включения в код внешних объектов, в числе которых Java-апплеты и элементы ActiveX. Атрибут SRC данного тэга, призванный указывать конкретный сетевой адрес исполняемого файла, как удалось выяснить экспертам Security.NNov, обрабатывается браузером некорректно. Это означает, что определенные возможности использования данного атрибута позволяют составить такой код HTML-файла или почтового письма, исполнение которого вызовет переполнение буфера и исполнение кода приложения с правами администартора. Корпорация Microsoft уже
представила программу-заплатку,
позволяющую избавиться от обнаруженной уязвимости. Комментарии CERT по
поводу данной системной ошибки также доступны
в Сети. |
||
Новости компании Инфотекс | ||
Компания Инфотекс предлагает
слушателям следующую тему: "Программный комплекс построения виртуальных
частных сетей на базе ПО ViPNet".
По завершении обучения выдается
свидетельство ФГУП НТЦ "АТЛАС" о подготовке специалистов по
конкретным средствам защиты информации (объем курса от 40 часов). 289-13-95 Морозов Александр
Алексеевич - начальник УМО ФГУП НТЦ "АТЛАС" |
||
Преимущества ViPNetOffice Firewall:
Программное обеспечение ViPNet
Office Firewall устанавливается на сервер-шлюз для защиты компьютеров
локальной сети от несанкционированного доступа при работе с ресурсами
Интернет. ViPNet Office Firewall контролирует весь IP-трафик, проходящий
через сервер-шлюз (горло сети).
Здесь можно ознакомиться с подробным описанием. Загрузить полнофункциональную демонстрационную версию ViPNet Office Firewall можно по адресу: http://www.infotecs.ru/demo.htm |
||
-
менеджера по продукту (Product manager)
Требования к кандидату:
Компенсации: оплата высокая
|
||
Требования к кандидату:
Компенсации: оплата высокая
|
||
Требования к кандидату:
Компенсации: оплата высокая
|
||
Компенсации: оплата высокая
|
||
Познакомиться с нашими решениями и получить более подробную информацию можно на web-сервере - http://www.infotecs.ru или по телефону (095) 737-6192 Полнофункциональные
демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel,
ViPNet Office Firewall находятся по адресу |
||
С уважением, ведущий рассылки Олег Карпинский. |
http://subscribe.ru/
E-mail: ask@subscribe.ru |
Отписаться
Убрать рекламу |
В избранное | ||