Протоколы шифрования

С1РЕ

Межоперационное взаимодействие IPSec

Режим туннелирования ESP

В этом режиме исходные адреса источника и приемника данных содержатся в исходном (инкапсулированном) заголовке IP. Внешний заголовок обычно содержит адреса шлюзов. В режиме ESP данные шифруются с помощью алгоритмов DES или 3DES.

При использовании ESP внешний заголовок IP не защищен и его целостность не гарантируется. Если необходимы шифрование, аутентификация и гарантия целостности всего пакета, то следует применять АН и ESP совместно.

Операционная система Windows 2000 содержит встроенные средства поддержки IPSec. Протокол IPSec стандартизирован IETF. Он работает также в операционных системах UNIX, Macintosh и других, поддерживающих семейство протоколов IP. В IPSec аутентификация может выполняться разными методами, включая предварительно согласованные секретные ключи, Kerberos и службы сертификации.

Для Linux протокол IPSec реализован в программе FreeS/WAN, которая распространяется бесплатно и может быть выгружена из Internet.

SSH/SSH2

Протокол SSH первоначально разрабатывался для предоставления безопасных альтернатив команды г системы UNIX, таких, как rsh, riogin и rep. В протоколе SSH используются сильные методы шифрования и аутентификации. Его развитие — версия SSH2 — представляет собой безопасный протокол туннелирования, используемый для создания VPN под управлением операционных систем UNIX или Linux. Сети VPN, создаваемые в SSH2, называются VPN на уровне каналов. Существует также клиентское программное обеспечение SSH для Windows.

Шлюзы на уровне каналов работают на сеансовом уровне модели OSI. Когда данные передаются на удаленный компьютер посредством шлюза на уровне каналов, они имеют такой вид, будто созданы самим шлюзом. Это позволяет скрывать информацию о структуре защищаемой сети.

Поддержку SSH можно установить на брандмауэре частной сети, тогда туннель создается от клиента SSH, имеющего коммутируемый доступ в Internet, до брандмауэра. Брандмауэр конфигурируется на передачу данных на сервер внутренней сети. Если высокая производительность не очень существенна, то такой простой способ во многих случаях является предпочтительным. Для SSH нужна своя регистрационная учетная запись, такая конфигурация будет оптимальной, когда, например, нескольким доверенным служащим нужно устанавливать из своего дома соединение с небольшой офисной сетью.

Программа С1РЕ представляет собой драйвер ядра Linux, используемый для создания туннеля между двумя подсетями IP. Данные шифруются на сетевом уровне модели OSI. Это называется низкоуровневым шифрованием. По сравнению с высокоуровневым шифрованием оно обладает тем преимуществом, что при объединении двух сетей посредством VPN в приложения не нужно вносить никаких изменений. Программа С1РЕ проще и эффективнее, чем IPSec.

Когда туннель создан, необходимо зашифровать данные для обеспечения их безопасности. Чаще всего используются следующие способы шифрования данных:

• МРРЕ;

• IPSec;

• VPNd;

• SSH.

МРРЕ

Протокол МРРЕ используется в соединениях VPN на основе РРТР (или в коммутируемых соединениях РРР). В нем может использоваться алгоритм шифрования с 40-, 56- или 128-битовым ключом.

Дата добавления: 2014-01-04; Просмотров: 2215; Нарушение авторских прав?; Мы поможем в написании вашей работы!