Повышение защиты информации при осуществлении подлинности в IP-сетях

Повышение защиты информации при осуществлении подлинности в IP-сетях

Повышение защиты информации при осуществлении подлинности в IP-сетях

Повышение защиты информации при осуществлении подлинности в IP-сетях

Среди всех возможных способов несанкционированного перехвата информации особое место занимает анализ трафика в сети доступа, поскольку это наименее защищенный источник информации. Анализ только служебной информации позволяет выяснить кто и с кем связывался, объем трафика, время и продолжительность связи, а в дальнейшем и несанкционированный доступ к сети, перенапрвлення информации и тому подобное. В тех сетях, где служебная информация, используемая для подключения абонентов, передается в незащищенном виде (сквозное шифрование) сразу можно определить кто с кем, как долго и когда именно А это позволяет перехватывать адресную информацию, мониторить сам трафик, осуществлять несанкционированное подключения к линии, искажать информацию, передаваемую.

Комбинация канального и сквозного шифрования данных в сети доступа вообще обходится дороже, чем каждое из них в отдельности, однако позволяет лучше защитить данные, передаваемые по сети. Шифрование по каждому каналу исключает попытки извне анализировать служебную информацию, используемую для маршрутизации.

Сквозное шифрование, в свою очередь, уменьшает вероятность доступа к незащищенным данных в узлах сети, кроме того, исключает нелегальное использование линии связи.

Читайте также  Башенный сервер PowerEdge T410

Аутентификация предполагает определение конечного пользователя и его местонахождение в сети. Обычно для этого используют пароли. Но для поддержания надлежащего уровня безопасности, с тем, чтобы исключить постороннее вмешательство замаскировать под легального пользователя, пароли нужно периодически менять.

Кроме того, при передаче данных, необходимо осуществлять проверку обратного кода

Последняя процедура заключается в том, что периодически запрашивается информация идентификации. Информация идентификации сравнивается с эталоном, хранящимся при аутентификации в начале сеанса связи. При несовпадении полученного кода и пароля передача блокируется. Проверка обратного кода позволяет выявлять факт перекомутации направлений выдачи данных или несанкционированного использования легального приемного оборудования. Система одноразовых паролей предназначена для борьбы с так называемыми «повторными атаками», когда хакер прослушивает канал, выделяет из трафика идентификатор пользователя и осуществляет попытки для дальнейшего несанкционированного доступа. Одноразовый пароль подлежит обязательной проверке.

Для этого система аутентификации пропускает его через защищенную хэш-функцию

Если полученный на выходе результат совпадает с эталоном, хранившийся в файле, то аутентификация считается состоявшейся. А новый пароль сохраняется в качестве эталона для дальнейшего использования. Аутентификация работает по одной из следующих схем: либо «запрос-ответ», или «по синхронизации времени». Последняя считается более защищенной, поскольку предполагает не только факт совпадения пароля, а и время такой проверки. Вместе с тем следует отметить, что блокирование передачи информации при проблемах с «прямой» аутентификации может быть вызвано не только несанкционированным вмешательством в сеть, а и наступлением случайного сбоя, когда проблему можно было бы решить перенаправлением трафика.

Читайте также  Классический двухюнитовый сервер PowerEdge R710

Поэтому используют так называемую косвенную аутентификацию. Косвенная аутентификация предусматривает свое размещение отдельно от других серверов, но при этом с ними происходит связь каждый раз. Когда пользователь запрашивает доступ к сети. Системы, где применяют косвенную аутентификацию обычно отличаются высоким уровнем отказоустойчивости, поддерживая функцию переправки.

Если любой из серверов теряет работоспособность (в том числе и под действием, так называемых DOS-атак), то запросы на аутентификацию могут быть переправлены на альтернативный сервер, содержащий копию аутентификационной базы данных. Это позволяет провайдеру IP-телефонии осуществлять репликацию на несколько хеш-машин и, соответственно, реализовывать подлинности на нескольких серверах.

Последнее позволяет исключить ситуацию так называемой «точки критической отказа», когда блокируется передача данных а, соответственно, и прерывается сеанс связи.

Похожее ...