Локальные протоколы

Шифрование SSH

Шифрование VPNd

Шифрование IPSec

В протоколе IPSec для передачи по туннелю L2TP данные шифруются с помощью алгоритмов DES и 3DES. Эти алгоритмы обеспечивают высокую безопасность данных. Алгоритм Диффи-Хеллмана с открытыми/закрытыми ключами позволяет открыто обмениваться по сети открытыми ключами. При этом безопасность не нарушается, поскольку с помощью открытого ключа можно только шифровать данные, дешифрование без закрытого ключа невозможно.

В программе VPNd, работающей под управлением Linux, используется алгоритм шифрования Blowfish. В этом 64-битовом алгоритме используются ключи разной длины — от 32 до 448 бит. Алгоритм обладает высоким быстродействием. Программа VPNd распространяется бесплатно, и доступен ее исходный код. Существует несколько вариантов программы VPNd, включая GOLDFISH, DOSFISH и TWOFISH.

В SSH для UNIX используются шифры с открытыми/закрытыми ключами, которые подробно рассматриваются в лекции 14, "Защита сети".

Для коммуникации клиента и сервера VPN необходимо установить общий стек сетевых/транспортных протоколов. Им может быть TCP/IP, однако это не обязательно. Даже при использовании РРТР, в котором для создания туннеля в публичной сети необходим IP, в частной сети можно использовать IPX/SPX или даже NetBEUI.

10.5 Безопасность VPN

Безопасность VPN обеспечивают следующие процедуры:

• аутентификация;

• авторизация;

• шифрование.

Такая многоуровневая система мер безопасности обеспечивает высокую конфиденциальность данных, передаваемых по VPN. Рассмотрим каждый из этих компонентов безопасности.

Аутентификация

Аутентификация клиента VPN предполагает проверку идентичности компьютера и пользователя, инициирующих соединение VPN. Аутентификация может выполняться на уровне компьютеров. Например, если в сети VPN на основе Windows 2000 для создания соединения VPN L2TP используется IPSec, то выполняется обмен сертификатами компьютеров.

Как показано в лекции 15, "Удаленный доступ", аутентификация пользователей может выполняться с помощью одного из нескольких методов, среди которых ЕАР (Extensible Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MS-CHAP (Microsoft CHAP), PAP (Password Authentication Protocol) или SPAP (Shiva PAP).

Авторизация

Этот термин означает ограничение числа пользователей, которым предоставляется доступ в VPN соответственно принятой стратегии безопасности. Стратегия безопасности определяет, кто из пользователей может получать доступ в VPN, а кому в доступе должно быть отказано.

Шифрование

Для защиты данных VPN используются различные технологии шифрования. Многие реализации VPN позволяют выбирать метод шифрования. Шифрование обеспечивает безопасность данных, передаваемых по VPN. Незашифрованные данные уязвимы для перехвата злоумышленниками в процессе их передачи по публичной сети.

10.6 Производительность VPN

Факторы, влияющие на производительность VPN, можно разбить на две категории: общие и специфические для конкретных реализации VPN.

Более всего на производительность VPN влияет природа самой Internet. Известны многочисленные случаи выхода из строя региональных участков. Интенсивные потоки данных (как, например, при известных событиях 11 сентября 2001 года) могут вызвать существенное снижение производительности каналов. Кроме того, вследствие чрезмерной загрузки иногда закрываются серверы провайдеров, что затрагивает сотни или даже тысячи пользователей.

Использование VPN приводит к увеличению количества передаваемых служебных сигналов, что также уменьшает производительность сетей. Сети VPN на уровне каналов обладают значительно меньшей производительностью, чем на уровне сетей. Если для установки соединения VPN используется публичная сеть, то теряются многие элементы управления, доступные при использовании непосредственного коммутируемого соединения.

10.7 Типы VPN

Сеть VPN может быть реализована как программно, так и аппаратно. Рассмотрим кратко обе реализации, то, чем они отличаются и как их можно сочетать в целях повышения безопасности.

Программные реализации VPN

В программных VPN используются рассмотренные в предыдущих разделах этой лекции протоколы туннелирования. Эту категорию сетей можно разбить на два типа: сети на основе программного обеспечения независимых поставщиков и на основе программных средств, встроенных в операционные системы. Очевидным преимуществом последних является меньшая стоимость. Ничего не нужно покупать дополнительно, а средства создания VPN, включенные в современные операционные системы, такие, как Windows 2000, оказываются достаточными для решения большинства задач.

Примерами программ VPN независимых поставщиков служат Safeguard VPN, Checkpoint SVN (Secure Virtual Networking) и NetMAX VPN Suite для Linux.

Аппаратные реализации VPN

Оборудование VPN выпускается компаниями Shiva, 3Com и VPNet Technologies. Средства поддержки VPN встроены как в маршрутизаторы Cisco, так и в маршрутизаторы других компаний. Компания NTS поставляет программу TunnelBuilder, являющуюся средством безопасной коммуникации VPN для Windows, NetWare и Macintosh. Поставщики брандмауэров, такие, как Raptor Systems, предоставляют средства создания VPN на основе брандмауэ;ров, оснащенных дополнительными средствами безопасности.

Сети VPN на основе оборудования можно разбить на две категории.

• На основе маршрутизаторов. Основой этих VPN являются маршрутизаторы с встроенными средствами шифрования. Они обладают самой высокой сетевой производительностью, к тому же их обычно легко устанавливать и использовать.

• На основе брандмауэров. Сети VPN этого типа обычно содержат дополнительные средства безопасности, такие, как усиленная аутентификация и детализированная регистрация. В этих VPN может выполняться трансляция адресов. Недостатком VPN на основе брандмауэров является пониженная производительность, однако применение в некоторых реализациях процессоров, разработанных специально для шифрования, решает эту проблему.

10.8 Резюме

В этой лекции рассмотрены основные понятия виртуальных частных сетей в их различных формах. Вы узнали, что VPN позволяют устанавливать безопасные соединения с удаленной частной сетью путем туннелирования, т.е. создания туннеля в Internet или другой публичной сети. Рассмотрены способы реализации VPN посредством коммутируемого соединения и методом "маршрутизатор - маршрутизатор".

Вы узнали, что туннелирование может выполняться на разных уровнях модели OSI. Рассмотрено туннелирование на уровне 2 с помощью протоколов РРТР и L2TP и туннелирование на уровне 3 с помощью протокола IPSec. Все современные операционные системы содержат встроенные средства создания соединений VPN, однако для этого можно использовать также программные продукты сторонних поставщиков.

Показаны финансовые преимущества использования VPN, описаны протоколы создания VPN и распространенные локальные протоколы, используемые для коммуникации клиентов и серверов VPN.

Рассмотрены различные вопросы безопасности VPN и три главных компонента обеспечения безопасности — аутентификация, авторизация и шифрование, а также производительность VPN и два базовых типа VPN — аппаратный и программный.

10.10 Рекомендуемые источники

Информация о списке рассылки по тематике VPN и ответы на часто задаваемые вопросы о VPN приведены по адресу: http://kubarb.phsx.ukans.edu/~tbird/vpn/FAQ.html.

Документация программы Linux mini-HOWTO, в которой приведено подробное описание установки VPN на основе SSH/PPP, находится по адресу: http://sunsite.unc.edu/LDP/HOWTO/mini/VPN.htmi.

Подробная информация о программах TunnelBuilder и TunnelMaster компании NTS приведена по адресу: www.nts.com/products/index.html.

Сжатый отчет по виртуальным частным сетям можно найти по адресу: www.corecom.ccm/html/vpn.html.

Дата добавления: 2014-01-04; Просмотров: 956; Нарушение авторских прав?; Мы поможем в написании вашей работы!