Введение

В сетевой отрасли все большее распространение получает термин «безопасность сетей предприятия».
Безопасность сетей является сложным вопросом отчасти из-за того, что в современном мире существует
великое множество технологий безопасности, многие из которых решают сходные задачи и представля-
ют собой лишь ступень на пути к более полным стратегическим решениям в данной области. В настоя-
щем документе дается обзор технологий безопасности, который даст читателям общее представление о
перспективах безопасности сетей и о том, как можно использовать продукты и средства компании Cisco
для создания защищенных сетей предприятий. Этот документ может использоваться в сочетании с так
называемыми «белыми книгами» (White Papers) Cisco и документацией, где детально описываются про-
дукты и средства, упоминаемые в данном тексте.
В первом разделе поясняются элементарные термины и обсуждаются причины, приводящие к необходи-
мости защиты современных сетей. Затем описываются базовые понятия криптографии и различные ме-
тоды поддержки безопасности, которые широко применяются в современной промышленности. В насто-
ящее время компания Cisco Systems уже поддерживает эти методы или работает над ними. Большинство
из них — это стандартные методы, которые разработаны «инженерной группой Интернет» (Internet
Engineering Task Force — IETF) и связаны с сетевым протоколом IP. Обычно, когда необходимо поддер-
жать услуги в области безопасности для других сетевых протоколов, не имеющих подобных стандартных
решений, используется метод туннелирования этих протоколов с помощью протокола IP. За обзором тех-
нологий следует детальное описание архитектуры обеспечения безопасности современных корпоратив-
ных сетей, а также разъяснения по поводу того, как продукты и функции операционной системы Cisco
вписываются в архитектуру защищенной сети предприятия.

Терминология
Чтобы понять основы безопасности, необходимо прояснить терминологию, которая широко использует-
ся в данной области. Вот некоторые базовые термины и их определения:

Аутентификация: определение источника информации, то есть конечного пользователя или устройства
(центрального компьютера, сервера, коммутатора, маршрутизатора и т. д.).
Целостность данных: обеспечение неизменности данных в ходе их передачи.
Конфиденциальность данных: обеспечение просмотра данных в приемлемом формате только для лиц,
имеющих право на доступ к этим данным.
Шифрование: метод изменения информации таким образом, что прочитать ее не может никто, кроме ад-
ресата, который должен ее расшифровать.
Расшифровка: метод восстановления измененной информации и приведения ее в читаемый вид.
Ключ: цифровой код, который может использоваться для шифрования и расшифровки информации, а
также для ее подписи.
Общий ключ: цифровой код, используемый для шифрования/расшифровки информации и проверки
цифровых подписей; этот ключ может быть широко распространен; общий ключ используется с соответ-
ствующим частным ключом.
Частный ключ: цифровой код, используемый для шифрования/расшифровки информации и проверки
цифровых подписей; владелец этого ключа должен держать его в секрете; частный ключ используется с
соответствующим общим ключом.
Секретный ключ: цифровой код, совместно используемый двумя сторонами для шифрования и расшиф-
ровки данных.
Ключевой отпечаток пальца: читаемый код, который является уникальным для общего ключа и может
использоваться для проверки подлинности его владельца.
Хэш-функция: математический расчет, результатом которого является последовательность битов (цифро-
вой код). Имея этот результат, невозможно восстановить исходные данные, использованные для расчета.
Хэш: последовательность битов, полученная в результате расчета хэш-функции.
Результат обработки сообщения (Message digest): величина, выдаваемая хэш-функцией (то же, что и
«хэш»).
Шифр: любой метод шифрования данных.
Цифровая подпись: последовательность битов, прилагаемая к сообщению (зашифрованный хэш), кото-
рая обеспечивает аутентификацию и целостность данных.

AAA — Authentication, Authorization, Accounting: архитектура аутентификации, авторизации и учета ком-
пании Cisco Systems.
Кампус: группа или комплекс рядом расположенных зданий предприятия или организации.
NAS — Network Access Server: сервер удаленного доступа к сети.
VLAN — Virtual Local Area Networks: виртуальные локальные сети.
VPN — Virtual Private Networks: виртуальные частные сети.
VPDN — Virtual Private Dial-Up Networks: виртуальные коммутируемые частные сети.

  Основы безопасности данных
В этом разделе описаны основные «строительные кирпичики», необходимые для понимания более
сложных технологий безопасности. Криптография является основой любой защищенной связи, и поэ-
тому так важно познакомиться с тремя основными криптографическими функциями: симметричным
шифрованием, асимметричным шифрованием и односторонними хэш-функциями. Все существующие
технологии аутентификации, целостности и конфиденциальности созданы на основе именно этих трех
функций. Цифровые подписи будут представлены в виде практического примера сочетания асиммет-
ричного шифрования с алгоритмом односторонней хэш-функции для поддержки аутентификации и це-
лостности данных.
  Криптография

Криптографией называется наука составления и расшифровки закодированных сообщений. Кроме то-
го, криптография является важным строительным кирпичиком для механизмов аутентификации, цело-
стности и конфиденциальности. Аутентификация является средством подтверждения личности отправи-
теля или получателя информации. Целостность означает, что данные не были изменены, а конфиденци-
альность создает ситуацию, при которой данные не может понять никто, кроме их отправителя и получа-
теля. Обычно криптографические механизмы существуют в виде алгоритма (математической функции)
и секретной величины (ключа). Алгоритмы широко известны. В секрете необходимо держать только
ключи. Ключ можно сравнить с номерным кодом для номерного замка. Хотя общая концепция номерно-
го замка хорошо известна, вы не сможете открыть такой замок, если не знаете, какой код следует на-
брать. И чем больше разрядов у этого кода, тем дольше нужно потрудиться, чтобы подобрать его методом
простого перебора. То же самое можно сказать и о криптографических ключах: чем больше битов в та-
ком ключе, тем менее он уязвим.
Аутентификация, целостность данных и конфиденциальность данных поддерживаются тремя типами
криптографических функций: симметричным шифрованием, асимметричным шифрованием и хэш-
функциями.
  Симметричное шифрование
Симметричное шифрование, которое часто называют шифрованием с помощью секретных ключей, в ос-
новном используется для обеспечения конфиденциальности данных. На рисунке 1 показаны два пользо-
вателя, Алиса и Боб, которые хотят установить между собой конфиденциальную связь. Для этого Алиса
и Боб должны совместно выбрать единый математический алгоритм, который будет использоваться для
шифрования и расшифровки данных. Кроме того, им нужно выбрать общий ключ (секретный ключ), ко-
торый будет использоваться с принятым ими алгоритмом шифрования/расшифровки.

Весьма упрощенным примером
алгоритма секретного ключа яв-
ляется так называемый шифр Це-
заря, показанный на рисунке 2.
Этот метод шифрования заклю-
чается в том, что каждая буква в
тексте заменяется на другую бук-
ву, находящуюся на определен-
ном расстоянии от нее в алфави-
те. При шифровании или рас-
шифровке этот алгоритм как бы
сдвигает буквы вверх и вниз по
алфавиту. Ключом в этом приме-
ре являются три буквы.

Совершенно ясно, что если кто-нибудь получит зашифрованное этим способом сообщение и будет знать
алгоритм (куда сдвигать буквы — вверх или вниз по алфавиту), он сможет легко раскрыть ключ методом
простого перебора, который заключается в том, что человек перебирает все возможные комбинации ал-
горитма до тех пор, пока не получит в результате расшифрованный текст. Обычно, чем длиннее ключ и
чем сложнее алгоритм, тем труднее решить задачу расшифровки простым перебором вариантов.
Сегодня широко используются такие алгоритмы секретных ключей, как Data Encryption Standard (DES),
3DES (или «тройной DES») и International Data Encryption Algorithm (IDEA). Эти алгоритмы шифруют со-
общения блоками по 64 бита. Если объем сообщения превышает 64 бита (как это обычно и бывает), необ-
ходимо разбить его на блоки по 64 бита в каждом, а затем каким-то образом свести их воедино. Такое
объединение, как правило, происходит одним из следующих четырех методов: электронной кодовой
книги (ECB), цепочки зашифрованных блоков (CBC), x-битовой зашифрованной обратной связи (CFB-x)
или выходной обратной связи (OFB).
Шифрование с помощью секретного ключа чаще всего используется для поддержки конфиденциально-
сти данных и очень эффективно реализуется с помощью неизменяемых «вшитых» программ (firmware).
Этот метод можно использовать для аутентификации и поддержания целостности данных, но метод циф-
ровой подписи (о котором мы скажем позже) является более эффективным. С методом секретных клю-
чей связаны следующие проблемы:
- Необходимо часто менять секретные ключи, поскольку всегда существует риск их случайного рас-
крытия.
- Трудно обеспечить безопасное генерирование и распространение секретных ключей.
Для получения и безопасного распространения секретных ключей обычно используется алгоритм Диф-
фи-Хеллмана (Diffie-Hellman), который описывается ниже.