соціації захисту IPSec завершують свою роботу або в результаті їх видалення, або за причини перевищення граничного часу їхнього існування.
2.4 Побудова захищених мереж на сеансовому рівні
Сеансовий рівень є максимально високим рівнем моделі OSI, на якому можливе формування захищених віртуальних каналів. При побудові захищених віртуальних мереж на даному рівні досягаються найкращі показники по функціональної повноті захисту інформаційного обміну, надійності контролю доступу, а також простоті конфігурування системи безпеки. Протоколи формування захищених віртуальних каналів на сеансовому рівні прозорі для прикладних протоколів захисту, а також високорівневих протоколів надання різних сервісів (протоколів HTTP, FTP, POP3, SMTP, NNTP та ін.). Однак на сеансовому рівні починається безпосередня залежність від додатків, що реалізують високорівневі протоколи. Тому реалізація протоколів захисту інформаційного обміну, відповідних цьому рівню, в більшості випадків вимагає внесення змін до високорівневі мережеві додатки.
Так як сеансовий рівень моделі OSI відповідає за установку логічних з'єднань і управління цими сполуками, то на даному рівні з'являється можливість використання програм-посередників, перевіряючих допустимість запитаних з'єднань і забезпечують виконання інших функцій захисту міжмережевої взаємодії. У загальному випадку програми-посередники, які традиційно використовуються в міжмережевих екранах, можуть виконувати такі функції:
ідентифікація та автентифікація користувачів;
криптозащита переданих даних;
розмежування доступу до ресурсів внутрішньої мережі;- Розмежування доступу до ресурсів зовнішньої мережі;
фільтрація і перетворення потоку повідомлень, наприклад, динамічний пошук вірусів і прозоре шифрування інформації;
трансляція внутрішніх мережевих адрес для вихідних пакетів повідомлень;
реєстрація подій та реагування на поставлені події;
кешування даних, запитуваних із зовнішньої мережі.
Таким чином, при побудові захищених віртуальних мереж на сеансовому рівні з'являється можливість не тільки криптографічного захисту інформаційного обміну, включаючи аутентифікацію, а й можливість реалізації ряду функцій посередництва між взаємодіючими сторонами.
Для криптографічного захисту інформаційного обміну на сеансовому Рівні найбільшу популярність отримав протокол SSL/TLS (Secure Sockets Layer/Transport Layer Security), розроблений компанією Netscape Communications.
Протокол SSL.
Протокол Secure Sockets Layer (SSL), споконвічно орієнтований на захист інформаційного обміну між клієнтом і сервером комп'ютерної мережі, є промисловим протоколом сеансового рівня моделі OSI використовують для забезпечення безпеки інформаційного обміну криптографічні методи захисту інформації. Конфіденційність переданих даних забезпечується за рахунок їх криптографічного закриття, а аутентифікація взаємодіючих сторін, а також достовірність і цілісність циркулюючої інформації - за рахунок формування та перевірки цифрового підпису.
Ядром протоколу SSL є технологія комплексного використання асиметричних і симетричних криптосистем. В якості алгоритмів асиметричного шифрування використовуються такі алгоритми, як RSA (розробки RSA Data Security Inc.), а також алгоритм Діффі-Хеллмана. Для обчислення хеш-функцій можуть застосовуватися стандарти MD5 і SHA - 1. Припустимими алгоритмами симетричного шифрування є RC2, RC4, DES, а також потрійний DES. У протоколі SSL третьої версії набір криптографічних алгоритмів є розширюваною. Для аутентифікації взаємодіючих сторін і криптозахисту ключа симетричного шифрування застосовуються цифрові сертифікати відкритих ключів користувачів (клієнта і сервера), завірені цифровим підписом спеціальних сертифікаційних центрів. Підтримуються цифрові сертифікати, відповідні загальноприйнятому стандарту Х.509 [11].
Протокол SSL розроблений корпорацією Netscape, а потім підтриманий низкою провідних виробників програмного забезпечення. Через своїх позитивних якостей SSL практично витіснив конкуруючі високорівневі протоколи щодо захисту інформаційного обміну, наприклад, такі як SHTTP (Secure HTTP), і став загальновизнаним неофіційними стандартом захисту в Internet і Intranet мережах. Специфікації SSL були свого часу запропоновані в якості офіційних стандартів Internet, але не отримали цього статусу за формальними обставинами. Не виключено, що SSL все ж таки почне просуватися по щаблях формального прийняття IETF як стандарт, так як він вже став промисловим протоколом, розвиватися і просуваються поза ієрархією технічних координуючих інститутів Internet. Останньою вер...
