КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Побудова VPN на базі мережевих операційних систем
Основні варіанти рішень VPN-рішення для побудови захищених корпоративних мереж Потенційним клієнтам пропонується широкий спектр устаткування і ПЗ для створення віртуальних приватних мереж: від інтегрованих багатофункціональних і спеціалізованих пристроїв до чисто програмних продуктів. Можна виділити три основні види VPN-рішень: (Слайд 2) · інтегровані; · спеціалізовані; · програмні. Розглянемо особливості кожного з перерахованих видів. Інтегровані VPN-рішення включають функції МЕ, маршрутизації і комутації. Головна перевага такого підходу полягає в централізації управління компонентами. Для компаній, яким не потрібна висока продуктивність корпоративної мережі, а задача зниження витрат на мережеве устаткування є однією з пріоритетних, найефективнішим буде інтегроване рішення, що дозволяє зосередити всі функції в одному пристрої. При цьому все ж таки слід сказати, що чим більше функцій виконується одним пристроєм, тим частіше стають помітними втрати в продуктивності. Спеціалізовані VPN-рішення. Висока продуктивність – найголовніше перевага спеціалізованих VPN-пристроїв. Вища швидкодія подібних систем обумовлена тим, що шифрування в них здійснюється спеціалізованими мікросхемами. Об'єм обчислень, які необхідно виконати при обробці VPN-пакету, в 50-100 разів перевищує той, який потрібен для обробки звичного пакету. Якщо в корпоративній мережі проводяться різні заходи, що вимагають обміну великим трафіком даних, то для ефективної обробки VPN-пакетів доцільно використовувати спеціалізовану апаратуру. Спеціалізовані VPN-пристрої забезпечують високий рівень безпеки, проте мають високу вартість. Програмні VPN-рішення. VPN-продукти, реалізовані програмним способом, з погляду продуктивності поступаються спеціалізованим пристроям, проте мають достатню потужність для реалізації VPN-мереж. Слід зазначити, що у разі видаленого доступу вимоги до необхідної смуги пропускання невеликі. Тому чисто програмні продукти легко забезпечують продуктивність, достатню для видаленого доступу. Безперечними достоїнствами програмних продуктів є гнучкість і зручність в застосуванні, а також відносно невисока вартість. Як правило, на практиці будують комбіновані VPN на базі існуючих рішень: (Слайд 3) · мережевих операційних систем; · маршрутизаторів; · МЕ; · спеціалізованого програмного забезпечення. Побудова VPN на базі мережевої ОС – достатньо зручний і, головне, дешевий спосіб створення інфраструктури захищених віртуальних каналів. Сьогодні найбільше розповсюдження серед мережевих ОС, що дозволяють коштувати VPN штатними засобами самої ОС, одержала Windows NT. Дане рішення виявилося популярним, перш за все, завдяки загальній поширеності даної ОС. Для побудови віртуальних захищених тунелів в IP-мережах Windows NT використовує розроблений фірмою Microsoft протокол РРТР, який є розширенням добре відомого протоколу РРР (Point-to-Point Protocol). Тунелювання трафіку відбувається за рахунок інкапсуляції і подальшого шифрування (криптоалгоритм RSA RC4 з ключем 40 біт) стандартних РРР-фреймів в IР-датаграми, які і передаються по відкритих IP-мережах. З погляду забезпечення безпеки з'єднання протокол РРТР успадковував практично всі якості протоколу РРР. На думку фахівців, дане рішення є оптимальним для побудови VPN усередині локальних мереж або домена Windows NT, а також для побудови intranet- і extranet-VPN для невеликих компаній з метою захисту некритичної для їх бізнесу інформації. В той же час крупний бізнес навряд довірить свої секрети цьому рішенню, оскільки численні випробування VPN, побудованих на базі Windows NT, показали, що протокол РРТР достатньо уразливий з погляду безпеки. Зокрема, наголошуються: (Слайд 4) · уразливість, пов'язана з реалізацією і застосуванням функції хешування паролів і протоколу автентифікації CHAP (протокол, розроблений корпорацією Microsoft для виконання процедур перевірки достовірності віддалених робочих станцій Windows); · уразливість протоколу шифрування в однорангових мережах (МРРЕ) (Проста однорангова мережа, в якій кожен ПК може виступати в якості сервера, дозволяє користувачам спільно працювати з файлами і друкувати на принтерах, а при установці спеціального ПЗ - мати доступ в Internet.); · відвертість для атак на етапі конфігурації з'єднання і атак типу «відмова в обслуговуванні»; · недостатня опрацьованість питань забезпечення безпеки в даній ОС і ін. Важливий і той факт, що через широку поширеність Windows NT пошуком додаткових уразливостей цієї ОС постійно зайняті тисячі комп'ютерних фахівців, які хоча і роблять це з різною метою, але інформацію про результати подібної роботи майже завжди можна знайти на численних сайтах хакерів в Internet. Розуміючи недостатню захищеність протоколу РРТР, в своїй новій ОС – Windows 2000 – компанія Microsoft зробила ставку на реалізацію сучаснішого протоколу IPSec. Проте перші незалежні тести виявили серйозні проблеми з безпекою і цією ОС.
Дата добавления: 2014-01-04; Просмотров: 724; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |