КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Лекция 5. Технология VPN
|
|
|
|
Цель лекции: технология VPN, как один из способов защиты информации.
Содержание
а) степень значимости VPN;
б) процесс туннелирования;
в) основные протоколы, применяемые в технологии VPN.
Осознавая данную проблему, корпоративные пользователи Интернета в наиболее развитых странах мира уже начинают предъявлять все большие требования не только к скорости доступа, но и к качеству передачи данных, которое наряду с традиционными параметрами QoS включает в себя и обеспечение конфиденциальности, целостности и подлинности информации, передаваемой через Интернет. Особенно важным это требование становится в тех случаях, когда корпоративные пользователи по причине чрезвычайной дороговизны выделенных каналов и недостаточной их защищенности вынуждены строить собственные системы информационной безопасности (СИБ) как в рамках intranet, так и extranet сетей.
Рисунок 5.1 – Предоставление VPN-услуг.
По мнению большинства экспертов, сегодня одним из самых грамотных и экономически выгодных решений для создания СИБ становится построение так называемых Virtual Private Network (VPN) - защищенных виртуальных частных сетей, основанных на современных технологиях криптографической защиты передаваемых по открытым сетям данных. Стратегические преимущества применения VPN-технологий, видимо, уже осознали большинство распределенных компаний, поскольку отказ от выделенных линий связи и переход на VPN уже приобрел массовый характер не только на Западе, где рынок VPN-услуг в последнее время очень активно развивается, но и в России. Причем, что интересно, доминирующее положение на рынке VPN-услуг на Западе начинают занимать не специализированные фирмы - системные интеграторы, а Интернет-провайдеры, которые постепенно расширяют спектр предлагаемых своим клиентам услуг, в том числе и за счет VPN, превращаясь из традиционных Интернет-провайдеров (ISP) в сервис-провайдеров (xSP).
|
|
|
VPN отличается рядом экономических преимуществ по сравнению с другими методами удаленного доступа. Во-первых, пользователи могут обращаться к корпоративной сети, не устанавливая c ней коммутируемое соединение, таким образом, отпадает надобность в использовании модемов. Во-вторых, можно обойтись без выделенных линий.
Рисунок 5.2 – VPN для удаленных пользователей
Имея доступ в Интернет, любой пользователь может без проблем подключиться к сети офиса своей фирмы. Следует заметить, что общедоступность данных совсем не означает их незащищенность. Система безопасности VPN - это броня, которая защищает всю корпоративную информацию от несанкционированного доступа. Прежде всего, информация передается в зашифрованном виде. Прочитать полученные данные может лишь обладатель ключа к шифру. Наиболее часто используемым алгоритмом кодирования является Triple DES, который обеспечивает тройное шифрование (168 разрядов) с использованием трех разных ключей. Подтверждение подлинности включает в себя проверку целостности данных и идентификацию пользователей, задействованных в VPN. Первая гарантирует, что данные дошли до адресата именно в том виде, в каком были посланы. Самые популярные алгоритмы проверки целостности данных - MD5 и SHA1. Далее система проверяет, не были ли изменены данные во время движения по сетям, по ошибке или злонамеренно. Таким образом, построение VPN предполагает создание защищенных от постороннего доступа туннелей между несколькими локальными сетями или удаленными пользователями. Для построения VPN необходимо иметь на обоих концах линии связи программы шифрования исходящего и дешифрования входящего трафиков. Они могут работать как на специализированных аппаратных устройствах, так и на ПК с такими операционными системами, как Windows, Linux или NetWare.
|
|
|
Управление доступом, аутентификация и шифрование - важнейшие элементы защищенного соединения.
Туннелирование (tunneling), или инкапсуляция (encapsulation), - это способ передачи полезной информации через промежуточную сеть. Такой информацией могут быть кадры (или пакеты) другого протокола. При инкапсуляции кадр не передается в сгенерированном узлом-отправителем виде, а снабжается дополнительным заголовком, содержащим информацию о маршруте, позволяющую инкапсулированным пакетам проходить через промежуточную сеть (Internet). На конце туннеля кадры деинкапсулируются и передаются получателю. Этот процесс (включающий инкапсуляцию и передачу пакетов) и есть туннелирование. Логический путь передвижения инкапсулированных пакетов в транзитной сети называется туннелем.
VPN работает на основе протокола PPP(Point-to-Point Protocol). Протокол PPP разработан для передачи данных по телефонным линиям и выделенным соединениям "точка-точка". PPP инкапсулирует пакеты IP, IPX и NetBIOS в кадры PPP и передает их по каналу "точка-точка". Протокол PPP может использоваться маршрутизаторами, соединенными выделенным каналом, или клиентом и сервером RAS, соединенными удаленным подключением.
Инкапсуляция обеспечивает мультиплексирование нескольких транспортных протоколов по одному каналу;
Протокол LCP - PPP задает гибкий LCP для установки, настройки и проверки канала связи. LCP обеспечивает согласование формата инкапсуляции, размера пакета, параметры установки и разрыва соединения, а также параметры аутентификации. В качестве протоколов аутентификации могут использоваться PAP, CHAP и др.;
Протоколы управления сетью - предоставляют специфические конфигурационные параметры для соответствующих транспортных протоколов. Например, IPCP протокол управления IP.
Для формирования туннелей VPN используются протоколы PPTP, L2TP, IPsec, IP-IP.
Протокол PPTP - позволяет инкапсулировать IP-, IPX- и NetBEUI-трафик в заголовки IP для передачи по IP-сети, например Internet.
Протокол L2TP - позволяет шифровать и передавать IP-трафик с использованием любых протоколов, поддерживающих режим "точка-точка" доставки дейтаграмм. Например, к ним относятся протокол IP, ретрансляция кадров и асинхронный режим передачи (АТМ).Протокол IPsec - позволяет шифровать и инкапсулировать полезную информацию протокола IP в заголовки IP для передачи по IP-сетям. Протокол IP-IP - IP-дейтаграмма инкапсулируется с помощью дополнительного заголовка IP. Главное назначение IP-IP - туннелирование многоадресного трафика в частях сети, не поддерживающих многоадресную маршрутизацию. Для технической реализации VPN, кроме стандартного сетевого оборудования, понадобится шлюз VPN, выполняющий все функции по формированию туннелей, защите информации, контролю трафика, а нередко и функции централизованного управления. На сегодняшний день VPN - это экономичное, надежное и общедоступное решение организации удаленного доступа. Каким бы ни было расстояние, VPN обеспечит соединение с любой точкой мира и сохранность передачи самых важных данных.
|
|
|
Плюсы использования решений VPN:
- объединение существующих филиалов и расширение сети предприятия;
- снижение эксплуатационных издержек по сравнению с использованием традиционных каналов связи;
- экономия и большая эффективность при работе удаленных сотрудников;
- унифицирование структуры сети, тем самым повышение управляемости и надежности.
Средства VPN должны решать следующие задачи:
- конфиденциальность –гарантия того, что в процессе передачи данных по каналам VPN они не будут просмотрены посторонними лицами;
- целостность – гарантия сохранности передаваемых данных. Никому не разрешается менять, модифицировать, разрушать или создавать новые данные при передаче по каналам VPN;
- доступность – гарантия того, что средства VPN постоянно доступны легальным пользователям.
Для решения этих задач в решениях VPN используются шифрование данных для обеспечения целостности и конфиденциальности, и аутентификация и авторизации для проверки прав пользователя и разрешения доступа к сети VPN. Нельзя полностью контролировать данные при их передаче через каналы и узлы Интернет, принадлежащие различным провайдерам. Поэтому требуются механизмы по обеспечению защиты передаваемых данных.
|
|
|
Туннель – это тот инструмент, который позволяет сделать VPN «виртуальной частной» сетью.Туннель создается двумя пограничными устройствами, размещенными в точках входа в публичную сеть
Процесс туннелирования осуществляется при помощи трех типов протоколов:
- рassenger protocol – или инкапсулируемый протокол;
- еncapsulating protocol – или инкапсулирующий протокол;
- сarrier protocol – протокол доставки, использующийся сетью передачи для доставки информации.
Процесс туннелирования выглядит следующим образом:
исходный пакет помещается в новый пакет – пакет инкапсулирующего протокола. Полученный новый пакет помещается в пакет протокола доставки (как правило, это протокол IP) для передачи по общедоступной сети.
|
|
|
|
Дата добавления: 2014-01-07; Просмотров: 3074; Нарушение авторских прав?; Мы поможем в написании вашей работы!