КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Побудова VPN на базі маршрутизаторів
|
|
|
|
Сьогодні практично всі провідні виробники маршрутизаторів і інших мережевих пристроїв заявляють про підтримку в своїх продуктах різних VPN-протоколів. В Україні безумовним лідером на цьому ринку є компанія Cisco Systems, тому побудову корпоративних VPN доцільно продемонструвати на рішеннях саме цієї компанії.
Побудова VPN-каналів на базі маршрутизаторів компанії Cisco здійснюється засобами самої ОС починаючи з версії Cisco IOS 12.x. Якщо па прикордонні маршрутизатори Cisco інших відділень компанії встановлена дана ОС, то є можливість сформувати корпоративну VPN, що складається з сукупності віртуальних захищених тунелів типу «точка-точка» від одного маршрутизатора до іншого (рис. 10). Тут і далі як ілюстрації використовуються фірмові схеми побудови VPN, одержані з Web-сайтів виробників. Як правило, для шифрування даних в каналі за умовчанням застосовується криптоалгоритм DES з довжиною ключа 56 біт.
Порівняно недавно з'явився новий продукт компанії – Cisco VPN client, який дозволяє створювати захищені з'єднання «точка-точка» між робочими станціями (у тому числі і видаленими) і маршрутизаторами Cisco, що робить можливим побудову internet- і localnet-VPN. (Слайд 5)
Рис. 1. Типова схема побудови корпоративної VPN на базі маршрутизаторів Cisco
Для організації VPN тунелю маршрутизатори компанії Cisco в даний час використовують протокол канального рівня L2TP (створений на базі фірмових протоколів L2F (Cisco Systems) і РРТР (Microsoft Co.)) і протокол мережевого рівня IPSec, розроблений асоціацією IETF.
Протокол L2TP забезпечує інкапсуляцію протоколів мережевого рівня (IP, IPX, NetBEUI і ін.) в пакети канального рівня (РРР), які і передаються по мережах, що підтримують доставку датаграм в каналах «точка-точка». Хоча цей протокол і претендує на рішення проблем безпеки в VPN, він ніяк не специфікує процедури шифрування, автентифікації (процедура автентифікації відбувається один раз на початку сесії) і перевірки цілісності кожного пакету, що передається по відкритій мережі, а також процедури управління криптографічними ключами. Основна перевага L2TP полягає в його незалежності від транспортного рівня, що дозволяє використовувати його в гетерогенних мережах. Достатньо важливою якістю L2TP є його підтримка в ОС Windows 2000, завдяки чому у принципі можна будувати комбіновані VPN на базі продуктів Microsoft і Cisco. Проте «канальна природа» протоколу L2TP послужила причиною його істотного недоліку: для гарантованої передачі захищеного пакету через складові мережі всі проміжні маршрутизатори повинні підтримувати даний протокол, що, очевидно, вельми важко гарантувати. Мабуть, у зв'язку з цим компанія Cisco сьогодні звернула пильніший погляд на просування сучаснішого VPN-протоколу - IPSec.
|
|
|
На сьогоднішній день IPSec – один з Internet-протоколів, що працюють, і досконалих, в плані безпеки. Зокрема, він забезпечує автентифікацію, перевірку цілісності і шифрування повідомлень на рівні кожного пакету (для управління криптографічними ключами IPSec використовує протокол IKE, що добре зарекомендував себе в своїй ранішній версії Oakley). Крім того, робота протоколу на мережевому рівні є однією із стратегічних переваг IPSec, оскільки VPN на його базі працюють повністю прозоро як для всіх без виключення додатків і мережевих сервісів, так і для мереж передачі даних канального рівня. Також IPSec дозволяє маршрутизувати зашифровані пакети мережам без додаткової настройки проміжних маршрутизаторів, оскільки зберігає стандартний IP-заголовок, прийнятий в IPv4. А той факт, що IPSec включений як невід'ємна частина в майбутній Internet-протокол IPv6, робить його ще привабливішим для організації корпоративних VPN.
|
|
|
Але IPSec властиві і деякі недоліки: підтримка тільки стека TCP/IP і досить великий об'єм службової інформації, який може викликати істотне зниження швидкості обміну даними на низькошвидкісних каналах зв'язку, а такими поки, на жаль, можна сміливо назвати більшість існуючих каналів.
У разі побудови VPN на базі маршрутизаторів необхідно пам'ятати ще і про те, що сам по собі такий підхід не вирішує проблему забезпечення загальної інформаційної безпеки компанії, оскільки всі внутрішні інформаційні ресурси все одно залишаються відкритими для атак ззовні. Для захисту цих ресурсів, як правило, застосовуються МЕ, які розташовуються за прикордонними маршрутизаторами, а отже, на каналі від маршрутизатора до МЕ і далі вся конфіденційна інформація йде в «відкритому» вигляді. Це, зокрема, означає, що маршрутизатор необхідно ставити якомога «ближче» до МЕ, бажано в загальному приміщенні, що охороняється.
Один з істотних недоліків побудови VPN на базі маршрутизаторів полягає у тому, що рішення єдиної задачі захисту інформаційних ресурсів компанії від атак ззовні розподіляється по декількох функціонально незалежних пристроях (наприклад, маршрутизатор і МЕ). Такий підхід може привести до серйозних організаційних і технічних проблем у випадках, наприклад, визначення відповідальності за порушення інформаційної безпеки мережі.
|
|
|
|
Дата добавления: 2014-01-04; Просмотров: 1092; Нарушение авторских прав?; Мы поможем в написании вашей работы!