Шифрование трафика в канале передачи

Классификация

СИСТЕМЫ ПОСТРОЕНИЯ VPN

Недостатки

Разумеется, говоря о возможностях систем контроля содержания, нельзя не упомянуть и о их недостатках. В первую очередь, это невозможность контроля зашифрованных сообщений. Поэтому во многих компаниях запрещается неконтролируемая передача таких сообщений. Вторая проблема — трудности с заданием адресов запрещенных страниц. Во-первых, необходимо держать такой список в актуальном состоянии, а во-вторых, существует способ нестандартного задания адресов, который позволяет обойти защитный механизм системы контроля содер­жания. Допустим, что мы хотим ограничить доступ к сайту www.playboy.com, что и указываете в настройках системы контроля содержания. Однако пользователь может использовать не доменное имя, что делается в абсолютном большинстве случаев, а IР-адрес_(209_;247.228.201) этого сервера. В случае отсутствия межсе­тевого экрана блокировать такой доступ будет сложно. Но на этом проблемы не заканчиваются. Пользователь может использовать десятичное значение этого ад­реса — 3522684105, что также позволит без проблем обращаться к интересую­щим его страницам.

Из пункта А в пункт Б необходимо передать информацию таким образом, что­бы к ней никто не смог получить доступ. Вполне реальная и часто возникающая на практике ситуация, особенно в последнее время. В качестве пунктов А и Б мо­гут выступать отдельные узлы или целые сегменты сетей. В случае с передачей информации между сетями в качестве защитной меры может выступать выделен­ный канал связи, принадлежащей компании, информация которой требует защи­ты. Однако поддержание таких каналов связи — это очень дорогое удовольствие. Проще, если информация будет передаваться по обычным каналам связи (например через Internet), но каким-либо способом будет отделена или скрыта от трафи­ка других компаний, циркулирующего в Internet. Но не стоит думать, что задача конфиденциальной передачи информации возникает только в глобальных сетях. Такая потребность может возникнуть и в локальных сетях, в которых требуется отделить один тип трафика от другого (например, трафик платежной системы от трафика информационно-аналитической системы). Итак, как сделать так, чтобы информация могла передаваться по тем же проводам, что и обычная информация, но при этом была недоступна для других? Помочь в этом может технология вир­туальных частных сетей (virtual private network, VPN).

Можно выделить два основных способа реализации VPN:

• разделение трафика в канале передачи;

• шифрование трафика в канале передачи.

Разделение трафика в канале передачи

Первая технология достаточно недавно получила широкое распространение. Она может применяться как в глобальных, так и в локальных сетях. Причем вто­рой случай распространен чаще — это всем известная технология виртуальных локальных сетей (VLAN), используемая для структуризации современных лока­льных сетей, построенных на базе коммутаторов. Однако помимо структуризации VLAN могут применяться и для отделения одного типа трафика от другого. Так как VLAN реализуются на канальном уровне, то их область применения не выхо­дит за рамки локальной сети, но и тут они неплохо справляются со своими задача­ми. В частности, независимо от адреса канального уровня (уникального, группо­вого или широковещательного) смешение данных из разных VLAN невозможно. В то же время внутри одной VLAN кадры передаются обычно только на тот порт, на который указывает адрес назначения кадра.

Узлы, входящие в VLAN, могут группироваться на основе различных при­знаков:

• группировка по портам. Классический и самый простой способ формирова­ния VLAN, согласно которому каждому порту коммутатора соответствует номер VLAN;

• группировка по МАС-адресам. Принадлежность к VLAN определяется по МАС-адресам сетевых пакетов;

• группировка по номерам подсетей сетевого уровня. В данном случае VLAN является аналогом обычной подсети, которая известна по протоколам IP или IPX;

• группировка по меткам. Самый эффективный и. надежный способ группиро­вания узлов в VLAN, согласно которому номер виртуальной сети добавля­ется к кадру, передаваемому между коммутаторами.

В глобальных сетях распространение получил аналог VLAN — технология MPLS (Multiprotocol Label Switching), которая также использует метки для раз­деления трафика и образования виртуальных каналов в IP-, ATM- и других сетях. Однако у технологии MPLS есть один недостаток (с точки зрения безопас­ности) — он может применяться только для связи «сеть — сеть» и не применим для соединения с отдельными узлами. Есть и второй недостаток — данные разных пользователей хоть и не смешиваются, но все-таки к ним можно получить доступ, прослушивая сетевой трафик. Кроме того, провайдер, предлагающий услуги MPLS, будет иметь доступ ко всей передаваемой информации. Однако данные технологии все же имеют право на существование, так как обеспечивают некото­рый уровень защищенности информации и достаточно дешевы. Основным постав­щиком MPLS является компания Cisco Systems.

Большую известность получила технология шифрования трафика, которая скрывает от глаз содержание данных, передаваемых по открытым сетям. Именно эта технология применяется многими разработчиками средств сетевой безопас­ности.

Дата добавления: 2014-01-15; Просмотров: 477; Нарушение авторских прав?; Мы поможем в написании вашей работы!