Протокол защиты электронной почты S/MIME

Протокол Secure Multipurpose InternetMail Extensions (S/MIME) предназначен для защиты данных, передаваемых в формате MIME, в основном - электронной почты. S/MIME предоставляет следующие криптографические услуги безопасности (криптографические сервисы):

· проверка целостности сообщения;

· установление подлинности отправителя (аутентификация);

· обеспечение секретности передаваемых данных (шифрование).

MIME описывает порядок форматирования писем, содержащих различные типы. S/MIME добавляет свои типы, что позволяет указать на то, что данные в этом разделе являются зашифрованными, подписанными и т.д. Протокол позволяет обычным почтовым клиентам защищать исходящую почту и интерпретировать криптографические сервисы, добавленные во входящую почту.

Стандарт определяет использование симметричных криптоалгоритмов для шифрования содержимого почтовых сообщений и алгоритма с открытым ключом для защиты передаваемого вместе с письмом ключа симметричного шифрования.

S/MIME поддерживается многими почтовыми клиентами: Microsoft Outlook (получение сертификата и настройка рассматривается в лабораторной работе 6), Mozilla, TheBat! и т.д. Более широкое применение протокола сдерживается необходимостью наличия сертификатов у абонентов и плохой совместимостью с системами Web-почты.

Протокол IPSec

Протокол IPSec или, если точнее, набор протоколов, разработан IETF как базовый протокол обеспечения безопасности на уровнеIP-соединения. IPSec является дополнением к использующемуся сейчас протоколу IP ver.4 и составной частью IP ver.6. Возможности, предоставляемые IPSec:

· контроль доступа;

· контроль целостности данных;

· аутентификация данных;

· защита от повторений;

· обеспечение конфиденциальности.

Основная задача IPSec - создание между двумя компьютерами, связанными через общедоступную (небезопасную) IP-сеть, безопасного туннеля, по которому передаются конфиденциальные или чувствительные к несанкционированному изменению данные. Подобный туннель создается с использованием криптографических методов защиты информации.

Архитектура IPSec является открытой, что, в частности, позволяет использовать для защиты передаваемых данных новые криптографические алгоритмы и протоколы.

Процесс защищенной передачи данных регулируется правилами безопасности, принятыми в системе.ассоциация безопасности SA. включает в себя:

· IP-адрес получателя;

· указание на протоколы безопасности, используемые при передаче данных;

· ключи, необходимые для шифрования и формирования имитовставки (если это требуется);

· указание на метод форматирования, определяющий, каким образом создаются заголовки;

· индекс параметров защиты (от англ. SecurityParameterIndex, сокр. SPI) - идентификатор, позволяющий найти нужный SA.

Межсетевые экраны

Межсетевые экраны (firewall, брандмауэр) делают возможной фильтрацию входящего и исходящего трафика, идущего через систему. Межсетевой экран использует один или более наборов <<правил>> для проверки сетевых пакетов при их входе или выходе через сетевое соединение, он или позволяет прохождение трафика или блокирует его. Правила межсетевого экрана могут проверять одну или более характеристик пакетов, включая, но не ограничиваясь типом протокола, адресом хоста источника или назначения и портом источника или назначения.

Используются для:

Для защиты и изоляции приложений, сервисов и машин во внутренней сети от нежелательного трафика, приходящего из внешней сети интернет.

Для ограничения или запрещения доступа хостов внутренней сети к сервисам внешней сети интернет.

Для поддержки преобразования сетевых адресов (networkaddresstranslation, NAT), что дает возможность задействовать во внутренней сети приватные IP адреса и совместно использовать одно подключение к сети Интернет (либо через один выделенный IP адрес, либо через адрес из пула автоматически присваиваемых публичных адресов).

Существует два основных способа создания наборов правил межсетевого экрана: <<включающий>> и <<исключающий>>. Исключающий межсетевой экран позволяет прохождение всего трафика, за исключением трафика, соответствующего набору правил. Включающий межсетевой экран действует прямо противоположным образом. Он пропускает только трафик, соответствующий правилам и блокирует все остальное.