Повышение защиты информации при осуществлении подлинности в IP-сетях
Среди всех возможных способов несанкционированного перехвата информации особое место занимает анализ трафика в сети доступа, поскольку это наименее защищенный источник информации. Анализ только служебной информации позволяет выяснить кто и с кем связывался, объем трафика, время и продолжительность связи, а в дальнейшем и несанкционированный доступ к сети, перенапрвлення информации и тому подобное. В тех сетях, где служебная информация, используемая для подключения абонентов, передается в незащищенном виде (сквозное шифрование) сразу можно определить кто с кем, как долго и когда именно А это позволяет перехватывать адресную информацию, мониторить сам трафик, осуществлять несанкционированное подключения к линии, искажать информацию, передаваемую.
Комбинация канального и сквозного шифрования данных в сети доступа вообще обходится дороже, чем каждое из них в отдельности, однако позволяет лучше защитить данные, передаваемые по сети. Шифрование по каждому каналу исключает попытки извне анализировать служебную информацию, используемую для маршрутизации.
Сквозное шифрование, в свою очередь, уменьшает вероятность доступа к незащищенным данных в узлах сети, кроме того, исключает нелегальное использование линии связи.
Аутентификация предполагает определение конечного пользователя и его местонахождение в сети. Обычно для этого используют пароли. Но для поддержания надлежащего уровня безопасности, с тем, чтобы исключить постороннее вмешательство замаскировать под легального пользователя, пароли нужно периодически менять.
Кроме того, при передаче данных, необходимо осуществлять проверку обратного кода
Последняя процедура заключается в том, что периодически запрашивается информация идентификации. Информация идентификации сравнивается с эталоном, хранящимся при аутентификации в начале сеанса связи. При несовпадении полученного кода и пароля передача блокируется. Проверка обратного кода позволяет выявлять факт перекомутации направлений выдачи данных или несанкционированного использования легального приемного оборудования. Система одноразовых паролей предназначена для борьбы с так называемыми «повторными атаками», когда хакер прослушивает канал, выделяет из трафика идентификатор пользователя и осуществляет попытки для дальнейшего несанкционированного доступа. Одноразовый пароль подлежит обязательной проверке.
Для этого система аутентификации пропускает его через защищенную хэш-функцию
Если полученный на выходе результат совпадает с эталоном, хранившийся в файле, то аутентификация считается состоявшейся. А новый пароль сохраняется в качестве эталона для дальнейшего использования. Аутентификация работает по одной из следующих схем: либо «запрос-ответ», или «по синхронизации времени». Последняя считается более защищенной, поскольку предполагает не только факт совпадения пароля, а и время такой проверки. Вместе с тем следует отметить, что блокирование передачи информации при проблемах с «прямой» аутентификации может быть вызвано не только несанкционированным вмешательством в сеть, а и наступлением случайного сбоя, когда проблему можно было бы решить перенаправлением трафика.
Поэтому используют так называемую косвенную аутентификацию. Косвенная аутентификация предусматривает свое размещение отдельно от других серверов, но при этом с ними происходит связь каждый раз. Когда пользователь запрашивает доступ к сети. Системы, где применяют косвенную аутентификацию обычно отличаются высоким уровнем отказоустойчивости, поддерживая функцию переправки.
Если любой из серверов теряет работоспособность (в том числе и под действием, так называемых DOS-атак), то запросы на аутентификацию могут быть переправлены на альтернативный сервер, содержащий копию аутентификационной базы данных. Это позволяет провайдеру IP-телефонии осуществлять репликацию на несколько хеш-машин и, соответственно, реализовывать подлинности на нескольких серверах.
Последнее позволяет исключить ситуацию так называемой «точки критической отказа», когда блокируется передача данных а, соответственно, и прерывается сеанс связи.