Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Туннелирование в виртуальных частных сетях

 

VPN состоит из каналов глобальной сети, защищенных протоколов и маршрутизаторов (рис. 2). Для объединения удаленных ЛВС в VPN используются так называемые виртуальные выделенные каналы. Для организации подобных соединений применяется механизм туннелировании или инкапсуляции.

Рис. 2. Структура VPN

При туннелировании пакет протокола более низкого уровня помешается в поле данных пакета протокола более высокого или такого же уровня.

Туннель создастся двумя пограничными устройствами, которые размещаются в точках входа в публичную сеть. Инициатор туннеля инкапсулирует пакеты ЛВС в IP-пакеты, содержащие в заголовке адреса инициатора и терминатора туннеля. Терминатор туннеля извлекает исходный пакет. Конфиденциальность передаваемой корпоративной информации достигается шифрованием (алгоритм одинаков на обоих концах туннеля).

Особенностью туннелирования является то, что эта технология позволяет зашифровать исходный пакет целиком, вместе с заголовком, а не только его поле данных. При этом для внешних пакетов используются адреса пограничных маршрутизаторов, установленных в этих двух точках, а внутренние адреса конечных узлов содержатся во внутренних пакетах в защищенном виде (рис. 3).

Рис. 3. Туннелирование пакетов

Механизм туннелирования можно представить как результат работы протоколов трех типов:

· протокола-пассажира;

· несущего протокола;

· протокола туннелирования.

Транспортный протокол объединяемых сетей (например, протокол IPX, переносящий данные в ЛВС филиалов одного предприятия) является протоколом-пассажиром, а протокол транзитной сети (например, протокол IP сети Internet) — несущим протоколом (рис. 4).

 

Рис. 4. Схема использования туннелировання для зашифрованной передачи трафика IPX через сеть IР

 

Процедура помещения пакетов протокола-пассажира в поле данных пакетов несущего протокола составляет суть протокола туннелирования. Пакеты протокола-пассажира никак не обрабатываются при транспортировке их по транзитной сети. Туннелирование обычно выполняет пограничное устройство (маршрутизатор или шлюз), которое располагается на границе между исходной и транзитной сетями, но этой работой может заниматься и узел-отправитель. Извлечение пакетов-пассажиров из несущих пакетов выполняет второе пограничное устройство, которое находится на границе между транзитной сетью и сетью назначения, либо узел-получатель.

Схема виртуальной частной сети

 

Суть VPN состоит в следующем (рис. 5) — на все компьютеры, имеющие выход в Internet, устанавливается средство, реализующее VPN (VPN-агент). (Не должно остаться ни одного незащищенного!)

 

Рис. 5. Схема VPN

Перед отправкой IP-пакета VPN-агент действует следующим образом:

· Из нескольких поддерживаемых им алгоритмов шифрования и ЭЦП по IP-адресу получателя выбирает нужный для защиты данного пакета, а также ключи. Если же в его настройках такого получателя нет, то информация не отправляется.

· Генерирует и добавляет в пакет ЭЦП отправителя или имитовставку.

· Шифрует пакет (целиком, включая заголовок).

· Проводит инкапсуляцию, т.е. формирует новый заголовок, где указывается адрес вовсе не получателя, а его VPN-агента. Эта полезная дополнительная функция позволяет представить обмен между двумя сетями как обмен между двумя компьютерами, на которых установлены VPN-агенты. Всякая полезная для злоумышленника информация, например, внутренние IP-адреса, ему уже недоступна.

· При получении IP-пакета выполняются обратные действия. Заголовок содержит сведения о VPN-агенте отправителя. Если таковой не входит в список разрешенных в настройках, то информация просто отбрасывается. То же самое происходит при приеме пакета с намеренно или случайно поврежденным заголовком.

· Согласно настройкам выбираются алгоритмы шифрования и ЭЦП, а также необходимые криптографические ключи. Пакет расшифровывается, затем проверяется его целостность. Если ЭЦП неверна, то он отбрасывается.

· Пакет в его исходном виде отправляется настоящему адресату по внутренней сети.

Все операции выполняются автоматически. Сложной в технологии VPN является только настройка VPN-агентов.

VPN-агент может находиться непосредственно на защищаемом ПК, что полезно для мобильных пользователей, подключающихся к Internet из разных мест. В этом случае он обезопасит обмен данными только того компьютера, на котором установлен.

Возможно совмещение VPN-агента с маршрутизатором (в этом случае его называют криптографическим) IP-пакетов. Ведущие мировые производители в последнее время выпускают маршрутизаторы со встроенной поддержкой VPN, например Express VPN от Intel, который шифрует все проходящие пакеты по алгоритму Triple DES.

Как видно из описания, VPN-агенты создают каналы между защищаемыми сетями, которые обычно называют туннелями. Они "прорыты" от од Eton сети к другой: циркулирующая внутри информация спрятана от чужих глаз.

Кроме того, все пакеты фильтруются в соответствии с настройками (рис. 6). Таким образом, все действия VPN-агентов можно свести к двум механизмам: созданию туннелей и фильтрации проходящих пакетов.

Рис. 6. Функции VPN-агентов

Совокупность правил создания туннелей, которая называется "политикой безопасности", записывается в настройках VPN-агентов, IP-пакеты направляются в тот или иной туннель или отбрасываются после того, как будут проверены:

· IP-адрес источника (для исходящего пакета — адрес конкретного компьютера защищаемой сети);

· IP-адрес назначения;

· протокол более высокого уровня, которому принадлежит данный пакет (например, TCP или UDP);

· номер порта, с которого или на который отправлена информация (например, 1080).

 

<== предыдущая лекция | следующая лекция ==>
Определение, цели и задачи | Построение виртуальной частной сети
Поделиться с друзьями:


Дата добавления: 2014-01-07; Просмотров: 3031; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.009 сек.