Необхідність захисту даних. Класифікація видалених атак на розподілені обчислювальні системи. Характеристика і механізми реалізації типових видалених атак. Принципи створення захищених систем зв'язку в розподілених обчислювальних системах, страница 33

IPSec рішення

Корпорація Intel пропонує перше сімейство мережних адаптерів з вбудованим захистом даних - Intel® PRO/100 S Desktop, Server і Mobile Adapters. Ці адаптери оптимізовані для апаратної обробки IPSec в Windows* 2000, і для розширення можливостей Windows NT* 4.0 і Windows 98 використовуючи Intel® Packet Protect software. Реалізована в адаптерах технологія переносить операції кодування/декодування на контроллер Intel® 82550 адаптера, який має інтегрований співпроцесор кодування. Це рішення дозволяє звільнити центральний процесор серверу або ПК для виконання інших задач і, таким чином не впливає на пропускну спроможність мережного з'єднання.

IPSec забезпечує чудовий захист локальної мережі, проте процес кодування/декодування вимагає від ЦП інтенсивних обчислень. Якщо обробка цих процесів виробляється на сервері, то це вимагає настільки багато обчислювальної потужності ЦП, що ефективна пропускна спроможність серверу може знизитися з 100 Мбит/с до 20 Мбит/с. При цьому ефективність роботи серверу і ПК користувача може знижуватися, тоді як утилізація ЦП зростає, тому що процесори зосереджені на кодуванні, замість інших функцій, що вимагаються користувачам.

Розвантаження ЦП особливо важливе для роботи серверу, тому що сервери одержують зашифровані пакети від багатьох робочих станцій і повинні витрачати більше часу на обробку, ніж робоча станція. Для цього IPSec адаптер встановлюється на кожен сервер і призначені для користувача робочі станції, які будуть частиною захищеної локальної мережі.

IPSec виконується на 3 рівні протокольного стека, в результаті цього він прозорий для додатків, у відмінності від технологій захисту, які виконуються на інших рівнях. Це означає, що застосування протоколу IPSec відносне недорого і не вимагає зміни додатків і повторного навчання користувачів.

Три рівні розгортання захисту

На першому етапі розгортання захисту локальної мережі адаптери Intel® PRO/100 S повинні бути устанавлени на ПК користувачів, яким потрібен захищений зв'язок і на сервери, які використовуються цими користувачами. Після того, як адаптери встановлені згідно правилам IPSec, при встановленні зв'язку комп'ютер запропонує використовувати протокол IPSec і якщо обидва комп'ютери допускають використовування протоколу IPSec, то передавані ними дані будуть зашифровані. Якщо сервер або клієнтська робоча станція не підтримує протокол IPSec, то послідує відкрита передача даних. Завдяки цьому всі передавані дані між вибраними клієнтами і серверами будуть зашифровані, і інформація не може бути перехоплена іншими користувачами усередині локальної мережі підприємства. Для ідентифікації користувача використовуються заздалегідь розподілені ключі.

На наступному етапі повинні визначатися різні рівні кодування і ідентифікації для кожного користувача залежно від ролі ПК і виходячи з трафіку проходячого через нього. Для посилення захисту локальної мережі створюються дві робочі групи. Одна робоча група - ексклюзивна, вона використовує індивідуальну політику захисту, крім того, ця робоча група входить і в загальну політику захисту. Це дозволяє надійно диференціювати повідомлення між ексклюзивною робочою групою і основною мережею. При цьому виділена робоча група може посилати кодовані повідомлення доступні для всіх користувачів або тільки для певних клієнтів усередині самої групи.

Третій етап – авторські повноваження. Як тільки політика захисту для виділеної робочої групи побудована і добре працює, вони можуть бути згруповані разом, і розгортання IPSec може бути розширений на інших членів групи. Таким чином, модель виділеної робочої групи може бути розширена на частину або на всю компанію. На певному етапі цього процесу підприємство може вирішити, що йому необхідний строгіший захист. Хоча заздалегідь розподілені ключі забезпечують чудову ідентифікацію для початкового етапу захисту локальної мережі, але це найстрогіший рівень, який можливий. Строгий рівень ідентифікації можна забезпечити, використовуючи стандарт X.509 дл цифрових посвідчень, які перевіряються авторськими повноваженнями. У рішеннях Intel використовується Entrust* - один з найбільш поважаних видів авторських повноважень. У розглянутому прикладі, при видачі цифрових посвідчень, можливо, унікально ідентифікувати кожного користувача виділеної групи. Це дозволяє системному адміністратору диференціювати запити зроблені різними по пріоритету користувачами.