- •1. Оценка рисков информационной безопасности для беспроводных телекоммуникационных сетей
- •1.1. Оценка рисков и международные стандарты
- •1.1.1. Стандарт iso/iec 17799:2000(e), iso/iec tr 13335-2
- •1.1.2. Стандарт nist 800-30
- •1.1.3. Стандарт СоbiТ
- •1.1.4. Стандарт score
- •1.1.5. Метод cramm
- •1.1.6. Стандарт SysTrust
- •1.2. Методика оценки рисков информационной безопасности беспроводных телекоммуникационных систем
- •1.3. Расчет риска отказа в обслуживании абонентов базовой станции беспроводной системы связи
- •2. Управление рисками информационной безопасности для беспроводных систем связи
- •2.1. Методика управления рисками информационной безопасности
- •2.2. Основные концепции управления рисками информационной безопасности
- •2.2.1. Концепция управления рисками octave
- •2.2.2. Концепция управления рисками сramm
- •2.2.3. Концепция управления рисками mitre
- •2.3. Инструментарий для управления рисками информационной безопасности
- •3. Методы и средства снижения рисков беспроводных систем связи
- •3.1. Аутентификация
- •3.1.1. Открытая аутентификация
- •3.1.2. Аутентификация с совместно используемым ключом
- •3.1.3. Аутентификация с использованием мас-адресов
- •3.2. Шифрование данных
- •3.2.1. Шифрование с применением статических wep-ключей
- •3.2.2. Шифрование с использованием протокола целостности временных ключей (tkip)
- •3.2.3. Улучшенный алгоритм шифрования (aes)
- •3.3. Виртуальные частные сети (vpn) как механизм защиты беспроводных систем связи
- •3.3.1. Топологии vpn с точки зрения беспроводной связи
- •3.3.2. Туннельные протоколы в vpn
- •3.3.3. Альтернативные реализации vpn
- •3.3.3.1. Протокол cIPe
- •3.3.3.2. Пакет OpenVpn
- •3.3.3.3. Пакет vTun
- •3.3.3.4. Обзор протокола ipSec
- •3.4. Системы обнаружения атак (ids)
- •Вопросы для самоконтроля
- •394026 Воронеж, Московский просп., 14
3.3.3. Альтернативные реализации vpn
Помимо стандартных протоколов VPN существуют и специализированные варианты. Проведем анализ некоторых из хорошо известных решений с открытыми исходными текстами, а именно: cIPe, OpenVPN и VTun.
3.3.3.1. Протокол cIPe
Протокол работает на уровне IP и позволяет туннелировать протоколы более высоких уровней (например, ICMP, TCP, UDP). Принцип работы напоминает РРР, но cIPe инкапсулирует передаваемые IP-пакеты в UDP-датаграммы. При разработке cIPe была поставлена цель создать облегченный протокол, в котором для шифрования данных применяются достаточно стойкие криптографические алгоритмы Blowfish и IDEA, но при этом простой для установки и обслуживания и в то же время несколько более производительный, чем IPSec. Из-за того, что в cIPe используется единственный UDP-порт для организации туннеля, трафик без труда проходит через NAT и межсетевой экран с запоминанием состояния. Поэтому он идеально подходит для не слишком опытных пользователей VPN, которым нужно работать совместно. Имеются бесплатные реализации cIPe как для UNIX, так и для Windows[].
3.3.3.2. Пакет OpenVpn
OpenVPN - это еще одно открытое решение, по своей функциональности аналогичное cIPe. Пакет легко инсталлируется и конфигурируется; известно, что он работает на большинстве UNIX-подобных систем, в которых есть драйверы виртуальной сети TUN/TAP. Поскольку протокол работает в адресном пространстве пользователя, то модификаций ядра не требуется. OpenVPN имеет модульную структуру; все криптографические функции реализованы посредством библиотеки OpenSSL, в том числе и самые современные шифры, к примеру, AES с 256-битовым ключом.
Следовательно, протокол в полной мере поддерживает реализованные в OpenSSL механизм PKI для аутентификации сеансов, протокол TLS для обмена ключами, не зависящий от шифра интерфейс EVP для шифрования данных и коды НМАС для аутентификации данных (если эта терминология непонятна, вернитесь к главам, посвященным прикладной криптографии). Как и в случае cIPe, использование единственного UDP-порта для инкапсуляции туннеля позволяет без труда пропускать трафик через NAT и межсетевые экраны с запоминанием состояния. Во время работы над этой книгой пакет еще не был перенесен на платформу Windows.
3.3.3.3. Пакет vTun
VTUn - это еще один пакет, который пользуется драйвером виртуальной сети TUN/TAP для туннелирования IP-трафика. Он поддерживает все распространенные протоколы уровня 3, в том числе IPX и AppleTalk, протоколы для работы по последовательным линиям связи РРР и SLIP, а также все программы, работающие с конвейерами UNIX (UNIX pipes). Встроенный механизм контроля трафика позволяет ограничивать входную и выходную скорость работы туннеля, что отличает это решение от всех остальных.
С точки зрения конфиденциальности VTun не претендует на звание самого безопасного протокола; основной упор сделан на быстродействие, стабильность и удобство эксплуатации. Тем не менее, он поддерживает алгоритм Blowfish с 128-битовым ключом для шифрования данных и MD5 для генерирования 128-битовых сверток. Версии для Windows не существует, так что вы ограничены UNIX- подобными ОС, которые поддерживают драйвер TUN/TAP.