Повышение защиты информации при осуществлении подлинности в IP-сетях

Повышение защиты информации при осуществлении подлинности в IP-сетях

Среди всех возможных способов несанкционированного перехвата информации особое место занимает анализ трафика в сети доступа, поскольку это наименее защищенный источник информации. Анализ только служебной информации позволяет выяснить кто и с кем связывался, объем трафика, время и продолжительность связи, а в дальнейшем и несанкционированный доступ к сети, перенапрвлення информации и тому подобное. В тех сетях, где служебная информация, используемая для подключения абонентов, передается в незащищенном виде (сквозное шифрование) сразу можно определить кто с кем, как долго и когда именно А это позволяет перехватывать адресную информацию, мониторить сам трафик, осуществлять несанкционированное подключения к линии, искажать информацию, передаваемую.

Комбинация канального и сквозного шифрования данных в сети доступа вообще обходится дороже, чем каждое из них в отдельности, однако позволяет лучше защитить данные, передаваемые по сети. Шифрование по каждому каналу исключает попытки извне анализировать служебную информацию, используемую для маршрутизации.

Сквозное шифрование, в свою очередь, уменьшает вероятность доступа к незащищенным данных в узлах сети, кроме того, исключает нелегальное использование линии связи.

Аутентификация предполагает определение конечного пользователя и его местонахождение в сети. Обычно для этого используют пароли. Но для поддержания надлежащего уровня безопасности, с тем, чтобы исключить постороннее вмешательство замаскировать под легального пользователя, пароли нужно периодически менять.

Кроме того, при передаче данных, необходимо осуществлять проверку обратного кода

Последняя процедура заключается в том, что периодически запрашивается информация идентификации. Информация идентификации сравнивается с эталоном, хранящимся при аутентификации в начале сеанса связи. При несовпадении полученного кода и пароля передача блокируется. Проверка обратного кода позволяет выявлять факт перекомутации направлений выдачи данных или несанкционированного использования легального приемного оборудования. Система одноразовых паролей предназначена для борьбы с так называемыми «повторными атаками», когда хакер прослушивает канал, выделяет из трафика идентификатор пользователя и осуществляет попытки для дальнейшего несанкционированного доступа. Одноразовый пароль подлежит обязательной проверке.

Для этого система аутентификации пропускает его через защищенную хэш-функцию

Если полученный на выходе результат совпадает с эталоном, хранившийся в файле, то аутентификация считается состоявшейся. А новый пароль сохраняется в качестве эталона для дальнейшего использования. Аутентификация работает по одной из следующих схем: либо «запрос-ответ», или «по синхронизации времени». Последняя считается более защищенной, поскольку предполагает не только факт совпадения пароля, а и время такой проверки. Вместе с тем следует отметить, что блокирование передачи информации при проблемах с «прямой» аутентификации может быть вызвано не только несанкционированным вмешательством в сеть, а и наступлением случайного сбоя, когда проблему можно было бы решить перенаправлением трафика.

Поэтому используют так называемую косвенную аутентификацию. Косвенная аутентификация предусматривает свое размещение отдельно от других серверов, но при этом с ними происходит связь каждый раз. Когда пользователь запрашивает доступ к сети. Системы, где применяют косвенную аутентификацию обычно отличаются высоким уровнем отказоустойчивости, поддерживая функцию переправки.

Если любой из серверов теряет работоспособность (в том числе и под действием, так называемых DOS-атак), то запросы на аутентификацию могут быть переправлены на альтернативный сервер, содержащий копию аутентификационной базы данных. Это позволяет провайдеру IP-телефонии осуществлять репликацию на несколько хеш-машин и, соответственно, реализовывать подлинности на нескольких серверах.

Последнее позволяет исключить ситуацию так называемой «точки критической отказа», когда блокируется передача данных а, соответственно, и прерывается сеанс связи.