Реферат
«Протоколи і методи реалізації VPN мереж»
Крім того, дуже часто сучасній людині, розвиваючи свій бізнес, доводиться багато подорожувати. Це можуть бути поїздки у віддалені куточки нашої країни або в країни зарубіжжя. Нерідко людям потрібен доступ до своєї інформації, що зберігається на їх домашньому комп'ютері, або на комп'ютері фірми. Цю проблему можна вирішити, організувавши віддалений доступ до нього за допомогою модему і телефонної лінії. Використання телефонної лінії має свої особливості. Недоліки цього рішення в тому, що дзвінок з іншої країни коштує чималих грошей. Є й інше рішення під назвою VPN. Переваги технології VPN в тому, що організація віддаленого доступу робиться не через телефонну лінію, а через Internet, що набагато дешевше і краще. На мою думку, технологія
VPN має перспективу на широке поширення по всьому світу.
За своєю суттю VPN володіє багатьма властивостями виділеної лінії, проте розгортається вона в межах загальнодоступної мережі, наприклад Інтернету. За допомогою методики тунелювання пакети даних транслюються через загальнодоступну мережу як за звичайним двухточечной з'єднанню. Між кожною парою «відправник-одержувач даних» встановлюється своєрідний тунель - безпечне логічне з'єднання, що дозволяє інкапсулювати дані одного протоколу в пакети іншого. Основними компонентами тунелю є:
· Ініціатор
· Маршрутизуються мережу;
· Тунельний комутатор;
· Один або кілька тунельних термінаторів.
Сам по собі принцип роботи VPN не суперечить основним мережних технологій і протоколів. Наприклад, при встановленні з'єднання віддаленого доступу клієнт посилає серверу потік пакетів стандартного протоколу PPP. У разі організації віртуальних виділених ліній між локальними мережами їх маршрутизатори також обмінюються пакетами PPP. Тим не менш, принципово новим моментом є пересилка пакетів через безпечний тунель, організований в межах загальнодоступної мережі.
Тунелювання дозволяє організувати передачу пакетів одного
протоколу в логічній середовищі, що використовує інший протокол. У результаті з'являється можливість вирішити проблеми взаємодії декількох різнотипних мереж, починаючи з необхідності забезпечення цілісності та конфіденційності даних і закінчуючи подоланням невідповідностей зовнішніх протоколів або схем адресації.
Існуюча мережева інфраструктура корпорації може бути підготовлена до використання VPN як за допомогою програмного, так і за допомогою апаратного забезпечення. Організацію віртуальної приватної мережі можна порівняти з прокладкою кабелю через глобальну мережу. Як правило, безпосереднє з'єднання між віддаленим користувачем і кінцевим пристроєм тунелю встановлюється по протоколу PPP.
Найбільш поширений метод створення тунелів VPN - інкапсуляція мережевих протоколів (IP, IPX, AppleTalk і т.д.) у PPP і подальша інкапсуляція утворених пакетів до протоколу тунелювання. Зазвичай в якості останнього виступає IP або (набагато рідше) ATM і Frame Relay. Такий підхід називається тунелюванням другого рівня, оскільки «пасажиром» тут є протокол саме другого рівня.
Альтернативний підхід - інкапсуляція пакетів мережевого протоколу безпосередньо до протоколу тунелювання (наприклад, VTP) називається тунелюванням третього рівня.
Незалежно від того, які протоколи використовуються або які цілі
переслідуються при організації тунелю, основна методика залишається
практично незмінною. Зазвичай один протокол використовується для встановлення з'єднання з віддаленим вузлом, а інший - для інкапсуляції даних та службової інформації з метою передачі через тунель.
1. За типом використовуваного середовища:
· Захищені VPN мережі. Найбільш поширений варіант приватних приватних мереж. C його допомогою можливо створити надійну і захищену підмережу на основі ненадійної мережі, як правило, Інтернету. Прикладом захищених VPN є: IPSec, OpenVPN і PPTP.
· Довірчі VPN мережі. Використовуються у випадках, коли передавальну середовище можна вважати надійним і необхідно вирішити лише завдання створення віртуальної підмережі в рамках більшої мережі. Питання забезпечення безпеки стають неактуальними. Прикладами подібних VPN рішенні є: MPLS та L2TP. Коректніше сказати, що ці протоколи перекладають завдання забезпечення безпеки на інші, наприклад L2TP, як правило, використовується в парі з IPSec.
2. За способом реалізації:
· VPN мережі у вигляді спеціального програмно-апаратного забезпечення. Реалізація VPN мережі здійснюється за допомогою спеціального комплексу програмно-апаратних засобів. Така реалізація забезпечує високу продуктивність і, як правило, високий ступінь захищеності.
· VPN мережі у вигляді програмного рішення. Використовують персональний комп'ютер зі спеціальним програмним забезпеченням, що забезпечує функціональність VPN.
· VPN мережі з інтегрованим рішенням. Функціональність VPN забезпечує комплекс, вирішальний також завдання фільтрації мережевого трафіку, організації мережного екрану і забезпечення якості обслуговування.
3. За призначенням:
· Intranet VPN. Використовують для об'єднання в єдину захищену мережу кількох розподілених філій однієї організації, які обмінюються даними по відкритих каналах зв'язку.
· Remote Access VPN. Використовують для створення захищеного каналу між сегментом корпоративної мережі (центральним офісом або філією) і одиночним користувачем, який, працюючи вдома, підключається до корпоративних ресурсів з домашнього комп'ютера або, перебуваючи у відрядженні, підключається до корпоративних ресурсів за допомогою ноутбука.
· Extranet VPN. Використовують для мереж, до яких підключаються «зовнішні» користувачі (наприклад, замовники або клієнти). Рівень довіри до них набагато нижче, ніж до співробітників компанії, тому потрібне забезпечення спеціальних «рубежів» захисту, що запобігають або обмежують доступ останніх до особливо цінної, конфіденційної інформації.
4. За типом протоколу:
Існують реалізації віртуальних приватних мереж під TCP / IP, IPX і AppleTalk. Але на сьогоднішній день спостерігається тенденція до загального переходу на протокол TCP / IP, і абсолютна більшість VPN рішень підтримує саме його.
5. За рівнем мережевого протоколу:
За рівнем мережевого протоколу на основі зіставлення з рівнями еталонної мережевої моделі ISO / OSI.
· VPN на базі брандмауерів
Брандмауери більшості виробників підтримують тунелювання і шифрування даних. Всі подібні продукти засновані на тому, що трафік, що проходить через брандмауер шифрується. До програмного забезпечення власне брандмауера додається модуль шифрування. Недоліком цього методу можна назвати залежність продуктивності від апаратного забезпечення, на якому працює брандмауер. При використанні брандмауерів на базі ПК треба пам'ятати, що подібне рішення можна застосовувати тільки для невеликих мереж з невеликим обсягом переданої інформації.
Як приклад VPN на базі брандмауерів можна назвати FireWall-1 компанії Check Point Software Technologies. FairWall-1 використовує для побудови VPN стандартний підхід на базі IPSec. Трафік, що приходить в брандмауер, дешифрується, після чого до нього застосовуються стандартні правила управління доступом. FireWall-1 працює під управлінням операційних систем Solaris і Windows NT 4.0.
· VPN на базі маршрутизаторів
Іншим способом побудови VPN є застосування для створення захищених каналів маршрутизаторів. Так як вся інформація, що виходить з локальної мережі, проходить через маршрутизатор, то доцільно покласти на цей маршрутизатор і завдання шифрування.
Прикладом обладнання для побудови VPN на маршрутизаторах є обладнання компанії Cisco Systems. Починаючи з версії програмного забезпечення IOS 11.3, маршрутизатори Cisco підтримують протоколи L2TP і IPSec. Крім простого шифрування проходить інформації Cisco підтримує і інші функції VPN, такі як ідентифікація при встановленні тунельного з'єднання і обмін ключами.
Для підвищення продуктивності маршрутизатора може бути використаний додатковий модуль шифрування ESA. Крім того, компанія Cisco System випустила спеціалізований пристрій для VPN, яке так і називається Cisco 1720 VPN Access Router (маршрутизатор доступу до VPN), призначений для встановлення в компаніях малого і середнього розміру, а також у відділеннях великих організацій.
· VPN на базі програмного забезпечення
Наступним підходом до побудови VPN є чисто програмні рішення. При реалізації такого рішення використовується спеціалізоване програмне забезпечення, яке працює на виділеному комп'ютері, і в більшості випадків виконує роль proxy-сервера. Комп'ютер з таким програмним забезпеченням може бути розташований за брандмауером.
Як приклад такого рішення можна виступає програмне забезпечення AltaVista Tunnel 97 компанії Digital. При використанні даного програмного забезпечення клієнт підключається до сервера Tunnel 97, автентифіковані на ньому і обмінюється ключами. Шифрація проводиться на базі 56 або 128 бітових ключів, отриманих у процесі встановлення з'єднання. Далі, зашифровані пакети інкапсулюються в інші IP-пакети, які в свою чергу відправляються на сервер. Крім того, дане програмне забезпечення кожні 30 хвилин генерує нові ключі, що значно підвищує захищеність з'єднання.
Позитивними якостями AltaVista Tunnel 97 є простота установки і зручність керування. Мінусами даної системи можна вважати нестандартну архітектуру (власний алгоритм обміну ключами) і низьку продуктивність.
· VPN на базі мережевої ОС
Рішення на базі мережевої ОС ми розглянемо на прикладі системи Windows NT компанії Microsoft. Для створення VPN Microsoft використовує протокол PPTP, який інтегрований у систему Windows NT. Дане рішення дуже привабливо для організацій використовують Windows в якості корпоративної операційної системи. Необхідно відзначити, що вартість такого рішення значно нижче вартості інших рішень. У роботі VPN на базі Windows NT використовується база користувачів NT, що зберігається на Primary Domain Controller (PDC). При підключенні до PPTP-сервера користувач автентифіковані по протоколах PAP, CHAP або MS-CHAP. Передані пакети інкапсулюються в пакети GRE / PPTP. Для шифрування пакетів використовується нестандартний протокол від Microsoft Point-to-Point Encryption c 40 або 128 бітовим ключем, отриманим в момент встановлення з'єднання. Недоліками даної системи є відсутність перевірки цілісності даних і неможливість зміни ключів під час з'єднання. Позитивними моментами є легкість інтеграції з Windows і низька вартість.
· VPN на базі апаратних засобів
Варіант побудови VPN на спеціальних пристроях може бути використаний в мережах, що вимагають високої продуктивності. Прикладом такого рішення є продукт c IPro-VPN компанії Radguard. Даний продукт використовує апаратне шифрування переданої інформації, здатне пропускати потік в 100 Мбіт / с. IPro-VPN підтримує протокол IPSec і механізм управління ключами ISAKMP / Oakley. Крім іншого, даний пристрій підтримує засоби трансляції мережевих адрес і може бути доповнено спеціальною платою, додає функції брандмауера
· Канальний рівень
· Мережний рівень
· Транспортний рівень.
· PPTP
В даний час найбільш поширеним протоколом VPN є протокол двухточечной тунельної зв'язку або Point-to-Point Tunnelling Protocol - PPTP. Розроблений він компаніями 3Com і Microsoft з метою надання безпечного віддаленого доступу до корпоративних мереж через Інтернет. PPTP використовує існуючі відкриті стандарти TCP / IP і багато в чому покладається на застарілий протокол двухточечной зв'язку РРР. На практиці РРР так і залишається комунікаційним протоколом сеансу з'єднання РРТР. РРТР створює тунель через мережу до NT-сервера одержувача і передає по ньому РРР-пакети віддаленого користувача. Сервер і робоча станція використовують віртуальну приватну мережу і не звертають уваги на те, наскільки безпечною та доступною є глобальна мережа між ними. Завершення сеансу з'єднання з ініціативи сервера, на відміну від спеціалізованих серверів віддаленого доступу, дозволяє адміністраторам локальної мережі не пропускати віддалених користувачів за межі системи безпеки Windows NT Server.
Хоча компетенція протоколу РРТР поширюється тільки на пристрої, що працюють під управлінням Windows, він надає компаніям можливість взаємодіяти з існуючими мережевими інфраструктурами і не завдавати шкоди власній системі безпеки. Таким чином, віддалений користувач може підключитися до Інтернету за допомогою місцевого провайдера з аналогової телефонної лінії або каналу ISDN і встановити з'єднання з сервером NT. При цьому компанії не доводиться витрачати великі суми на організацію та обслуговування пулу модемів, що надає послуги віддаленого доступу. «Протоколи і методи реалізації VPN мереж»
Введення
Останнім часом у світі телекомунікацій спостерігається підвищений інтерес до віртуальних приватних мереж (Virtual Private Network - VPN). Це обумовлено необхідністю зниження витрат на утримання корпоративних мереж за рахунок більш дешевого підключення віддалених офісів та віддалених користувачів через мережу Internet. Дійсно, при порівнянні вартості послуг по з'єднанню декількох мереж через Internet, наприклад, з мережами Frame Relay можна помітити істотну різницю у вартості. Однак необхідно відзначити, що при об'єднанні мереж через Internet, відразу ж виникає питання про безпеку передачі даних, тому виникла необхідність створення механізмів дозволяють забезпечити конфіденційність і цілісність інформації, що передається. Мережі, побудовані на базі таких механізмів, і отримали назву VPN.Крім того, дуже часто сучасній людині, розвиваючи свій бізнес, доводиться багато подорожувати. Це можуть бути поїздки у віддалені куточки нашої країни або в країни зарубіжжя. Нерідко людям потрібен доступ до своєї інформації, що зберігається на їх домашньому комп'ютері, або на комп'ютері фірми. Цю проблему можна вирішити, організувавши віддалений доступ до нього за допомогою модему і телефонної лінії. Використання телефонної лінії має свої особливості. Недоліки цього рішення в тому, що дзвінок з іншої країни коштує чималих грошей. Є й інше рішення під назвою VPN. Переваги технології VPN в тому, що організація віддаленого доступу робиться не через телефонну лінію, а через Internet, що набагато дешевше і краще. На мою думку, технологія
VPN має перспективу на широке поширення по всьому світу.
1. Поняття і класифікація VPN мереж, їх побудова
1.1 Що таке VPN
VPN (Virtual Private Network - віртуальна приватна мережа) - логічна мережа, що створюється поверх іншої мережі, наприклад Internet. Незважаючи на те, що комунікації здійснюються по публічних мереж з використанням небезпечних протоколів, за рахунок шифрування створюються закриті від сторонніх канали обміну інформацією. VPN дозволяє об'єднати, наприклад, кілька офісів організації в єдину мережу з використанням для зв'язку між ними непідконтрольних каналів.За своєю суттю VPN володіє багатьма властивостями виділеної лінії, проте розгортається вона в межах загальнодоступної мережі, наприклад Інтернету. За допомогою методики тунелювання пакети даних транслюються через загальнодоступну мережу як за звичайним двухточечной з'єднанню. Між кожною парою «відправник-одержувач даних» встановлюється своєрідний тунель - безпечне логічне з'єднання, що дозволяє інкапсулювати дані одного протоколу в пакети іншого. Основними компонентами тунелю є:
· Ініціатор
· Маршрутизуються мережу;
· Тунельний комутатор;
· Один або кілька тунельних термінаторів.
Сам по собі принцип роботи VPN не суперечить основним мережних технологій і протоколів. Наприклад, при встановленні з'єднання віддаленого доступу клієнт посилає серверу потік пакетів стандартного протоколу PPP. У разі організації віртуальних виділених ліній між локальними мережами їх маршрутизатори також обмінюються пакетами PPP. Тим не менш, принципово новим моментом є пересилка пакетів через безпечний тунель, організований в межах загальнодоступної мережі.
Тунелювання дозволяє організувати передачу пакетів одного
протоколу в логічній середовищі, що використовує інший протокол. У результаті з'являється можливість вирішити проблеми взаємодії декількох різнотипних мереж, починаючи з необхідності забезпечення цілісності та конфіденційності даних і закінчуючи подоланням невідповідностей зовнішніх протоколів або схем адресації.
Існуюча мережева інфраструктура корпорації може бути підготовлена до використання VPN як за допомогою програмного, так і за допомогою апаратного забезпечення. Організацію віртуальної приватної мережі можна порівняти з прокладкою кабелю через глобальну мережу. Як правило, безпосереднє з'єднання між віддаленим користувачем і кінцевим пристроєм тунелю встановлюється по протоколу PPP.
Найбільш поширений метод створення тунелів VPN - інкапсуляція мережевих протоколів (IP, IPX, AppleTalk і т.д.) у PPP і подальша інкапсуляція утворених пакетів до протоколу тунелювання. Зазвичай в якості останнього виступає IP або (набагато рідше) ATM і Frame Relay. Такий підхід називається тунелюванням другого рівня, оскільки «пасажиром» тут є протокол саме другого рівня.
Альтернативний підхід - інкапсуляція пакетів мережевого протоколу безпосередньо до протоколу тунелювання (наприклад, VTP) називається тунелюванням третього рівня.
Незалежно від того, які протоколи використовуються або які цілі
переслідуються при організації тунелю, основна методика залишається
практично незмінною. Зазвичай один протокол використовується для встановлення з'єднання з віддаленим вузлом, а інший - для інкапсуляції даних та службової інформації з метою передачі через тунель.
1.2 Класифікація VPN мереж
Впорядкувати VPN рішення можна за кількома основними параметрами:1. За типом використовуваного середовища:
· Захищені VPN мережі. Найбільш поширений варіант приватних приватних мереж. C його допомогою можливо створити надійну і захищену підмережу на основі ненадійної мережі, як правило, Інтернету. Прикладом захищених VPN є: IPSec, OpenVPN і PPTP.
· Довірчі VPN мережі. Використовуються у випадках, коли передавальну середовище можна вважати надійним і необхідно вирішити лише завдання створення віртуальної підмережі в рамках більшої мережі. Питання забезпечення безпеки стають неактуальними. Прикладами подібних VPN рішенні є: MPLS та L2TP. Коректніше сказати, що ці протоколи перекладають завдання забезпечення безпеки на інші, наприклад L2TP, як правило, використовується в парі з IPSec.
2. За способом реалізації:
· VPN мережі у вигляді спеціального програмно-апаратного забезпечення. Реалізація VPN мережі здійснюється за допомогою спеціального комплексу програмно-апаратних засобів. Така реалізація забезпечує високу продуктивність і, як правило, високий ступінь захищеності.
· VPN мережі у вигляді програмного рішення. Використовують персональний комп'ютер зі спеціальним програмним забезпеченням, що забезпечує функціональність VPN.
· VPN мережі з інтегрованим рішенням. Функціональність VPN забезпечує комплекс, вирішальний також завдання фільтрації мережевого трафіку, організації мережного екрану і забезпечення якості обслуговування.
3. За призначенням:
· Intranet VPN. Використовують для об'єднання в єдину захищену мережу кількох розподілених філій однієї організації, які обмінюються даними по відкритих каналах зв'язку.
· Remote Access VPN. Використовують для створення захищеного каналу між сегментом корпоративної мережі (центральним офісом або філією) і одиночним користувачем, який, працюючи вдома, підключається до корпоративних ресурсів з домашнього комп'ютера або, перебуваючи у відрядженні, підключається до корпоративних ресурсів за допомогою ноутбука.
· Extranet VPN. Використовують для мереж, до яких підключаються «зовнішні» користувачі (наприклад, замовники або клієнти). Рівень довіри до них набагато нижче, ніж до співробітників компанії, тому потрібне забезпечення спеціальних «рубежів» захисту, що запобігають або обмежують доступ останніх до особливо цінної, конфіденційної інформації.
4. За типом протоколу:
Існують реалізації віртуальних приватних мереж під TCP / IP, IPX і AppleTalk. Але на сьогоднішній день спостерігається тенденція до загального переходу на протокол TCP / IP, і абсолютна більшість VPN рішень підтримує саме його.
5. За рівнем мережевого протоколу:
За рівнем мережевого протоколу на основі зіставлення з рівнями еталонної мережевої моделі ISO / OSI.
1.3. Побудова VPN
Існують різні варіанти побудови VPN. При виборі рішення потрібно враховувати фактори продуктивності засобів побудови VPN. Наприклад, якщо маршрутизатор і так працює на межі потужності свого процесора, то додавання тунелів VPN і застосування шифрування / дешифрування інформації можуть зупинити роботу всієї мережі через те, що цей маршрутизатор не буде справлятися з простим трафіком, не кажучи вже про VPN. Досвід показує, що для побудови VPN найкраще використовувати спеціалізоване обладнання, однак якщо є обмеження в коштах, то можна звернути увагу на суто програмне рішення. Розглянемо деякі варіанти побудови VPN.· VPN на базі брандмауерів
Брандмауери більшості виробників підтримують тунелювання і шифрування даних. Всі подібні продукти засновані на тому, що трафік, що проходить через брандмауер шифрується. До програмного забезпечення власне брандмауера додається модуль шифрування. Недоліком цього методу можна назвати залежність продуктивності від апаратного забезпечення, на якому працює брандмауер. При використанні брандмауерів на базі ПК треба пам'ятати, що подібне рішення можна застосовувати тільки для невеликих мереж з невеликим обсягом переданої інформації.
Як приклад VPN на базі брандмауерів можна назвати FireWall-1 компанії Check Point Software Technologies. FairWall-1 використовує для побудови VPN стандартний підхід на базі IPSec. Трафік, що приходить в брандмауер, дешифрується, після чого до нього застосовуються стандартні правила управління доступом. FireWall-1 працює під управлінням операційних систем Solaris і Windows NT 4.0.
· VPN на базі маршрутизаторів
Іншим способом побудови VPN є застосування для створення захищених каналів маршрутизаторів. Так як вся інформація, що виходить з локальної мережі, проходить через маршрутизатор, то доцільно покласти на цей маршрутизатор і завдання шифрування.
Прикладом обладнання для побудови VPN на маршрутизаторах є обладнання компанії Cisco Systems. Починаючи з версії програмного забезпечення IOS 11.3, маршрутизатори Cisco підтримують протоколи L2TP і IPSec. Крім простого шифрування проходить інформації Cisco підтримує і інші функції VPN, такі як ідентифікація при встановленні тунельного з'єднання і обмін ключами.
Для підвищення продуктивності маршрутизатора може бути використаний додатковий модуль шифрування ESA. Крім того, компанія Cisco System випустила спеціалізований пристрій для VPN, яке так і називається Cisco 1720 VPN Access Router (маршрутизатор доступу до VPN), призначений для встановлення в компаніях малого і середнього розміру, а також у відділеннях великих організацій.
· VPN на базі програмного забезпечення
Наступним підходом до побудови VPN є чисто програмні рішення. При реалізації такого рішення використовується спеціалізоване програмне забезпечення, яке працює на виділеному комп'ютері, і в більшості випадків виконує роль proxy-сервера. Комп'ютер з таким програмним забезпеченням може бути розташований за брандмауером.
Як приклад такого рішення можна виступає програмне забезпечення AltaVista Tunnel 97 компанії Digital. При використанні даного програмного забезпечення клієнт підключається до сервера Tunnel 97, автентифіковані на ньому і обмінюється ключами. Шифрація проводиться на базі 56 або 128 бітових ключів, отриманих у процесі встановлення з'єднання. Далі, зашифровані пакети інкапсулюються в інші IP-пакети, які в свою чергу відправляються на сервер. Крім того, дане програмне забезпечення кожні 30 хвилин генерує нові ключі, що значно підвищує захищеність з'єднання.
Позитивними якостями AltaVista Tunnel 97 є простота установки і зручність керування. Мінусами даної системи можна вважати нестандартну архітектуру (власний алгоритм обміну ключами) і низьку продуктивність.
· VPN на базі мережевої ОС
Рішення на базі мережевої ОС ми розглянемо на прикладі системи Windows NT компанії Microsoft. Для створення VPN Microsoft використовує протокол PPTP, який інтегрований у систему Windows NT. Дане рішення дуже привабливо для організацій використовують Windows в якості корпоративної операційної системи. Необхідно відзначити, що вартість такого рішення значно нижче вартості інших рішень. У роботі VPN на базі Windows NT використовується база користувачів NT, що зберігається на Primary Domain Controller (PDC). При підключенні до PPTP-сервера користувач автентифіковані по протоколах PAP, CHAP або MS-CHAP. Передані пакети інкапсулюються в пакети GRE / PPTP. Для шифрування пакетів використовується нестандартний протокол від Microsoft Point-to-Point Encryption c 40 або 128 бітовим ключем, отриманим в момент встановлення з'єднання. Недоліками даної системи є відсутність перевірки цілісності даних і неможливість зміни ключів під час з'єднання. Позитивними моментами є легкість інтеграції з Windows і низька вартість.
· VPN на базі апаратних засобів
Варіант побудови VPN на спеціальних пристроях може бути використаний в мережах, що вимагають високої продуктивності. Прикладом такого рішення є продукт c IPro-VPN компанії Radguard. Даний продукт використовує апаратне шифрування переданої інформації, здатне пропускати потік в 100 Мбіт / с. IPro-VPN підтримує протокол IPSec і механізм управління ключами ISAKMP / Oakley. Крім іншого, даний пристрій підтримує засоби трансляції мережевих адрес і може бути доповнено спеціальною платою, додає функції брандмауера
2. Протоколи VPN мереж
Мережі VPN будуються з використанням протоколів тунелювання даних через мережу зв'язку загального користування Інтернет, причому протоколи тунелювання забезпечують шифрування даних і здійснюють їх наскрізну передачу між користувачами. Як правило, на сьогоднішній день для побудови мереж VPN використовуються протоколи наступних рівнів:· Канальний рівень
· Мережний рівень
· Транспортний рівень.
2.1 Канальний рівень
На канальному рівні можуть використовуватися протоколи тунелювання даних L2TP і PPTP, які використовують авторизацію і аутентифікацію.· PPTP
В даний час найбільш поширеним протоколом VPN є протокол двухточечной тунельної зв'язку або Point-to-Point Tunnelling Protocol - PPTP. Розроблений він компаніями 3Com і Microsoft з метою надання безпечного віддаленого доступу до корпоративних мереж через Інтернет. PPTP використовує існуючі відкриті стандарти TCP / IP і багато в чому покладається на застарілий протокол двухточечной зв'язку РРР. На практиці РРР так і залишається комунікаційним протоколом сеансу з'єднання РРТР. РРТР створює тунель через мережу до NT-сервера одержувача і передає по ньому РРР-пакети віддаленого користувача. Сервер і робоча станція використовують віртуальну приватну мережу і не звертають уваги на те, наскільки безпечною та доступною є глобальна мережа між ними. Завершення сеансу з'єднання з ініціативи сервера, на відміну від спеціалізованих серверів віддаленого доступу, дозволяє адміністраторам локальної мережі не пропускати віддалених користувачів за межі системи безпеки Windows NT Server.
Далі розглядається робота РРТР. PPTP інкапсулює пакети IP для передачі по IP-мережі. Клієнти PPTP використовують порт призначення для створення керуючого тунелем з'єднання. Цей процес відбувається на транспортному рівні моделі OSI. Після створення тунелю комп'ютер-клієнт і сервер починають обмін службовими пакетами. На додаток до керуючого з'єднанню PPTP, що забезпечує працездатність каналу, створюється з'єднання для пересилання по тунелю даних. Інкапсуляція даних перед пересиланням через тунель відбувається дещо інакше, ніж при звичайній передачі. Інкапсуляція даних перед відправкою в тунель включає два етапи:
1. Спочатку створюється інформаційна частина PPP. Дані проходять зверху вниз, від прикладного рівня OSI до канального.
2. Потім отримані дані відправляються вгору по моделі OSI і інкапсулюються протоколами верхніх рівнів.
Таким чином, під час другого проходу дані досягають транспортного рівня. Однак інформація не може бути відправлена за призначенням, тому що за це відповідає канальний рівень OSI. Тому PPTP шифрує поле корисного навантаження пакету і бере на себе функції другого рівня, зазвичай належать PPP, тобто додає до PPTP-пакету PPP-заголовок і закінчення. На цьому створення кадру канального рівня закінчується.
Далі, PPTP інкапсулює PPP-кадр в пакет Generic Routing Encapsulation (GRE), який належить мережевого рівня. GRE інкапсулює протоколи мережного рівня, наприклад IPX, AppleTalk, DECnet, щоб забезпечити можливість їх передачі по IP-мереж. Однак GRE не має можливості встановлювати сесії і забезпечувати захист даних від зловмисників. Для цього використовується здатність PPTP створювати з'єднання для управління тунелем. Застосування GRE як метод інкапсуляції обмежує поле дії PPTP тільки мережами IP.
Після того як кадр PPP був инкапсулирован в кадр із заголовком GRE, виконується інкапсуляція в кадр з IP-заголовком. IP-заголовок містить адреси відправника і одержувача пакету. На закінчення PPTP додає PPP заголовок і закінчення. На додатку 3 показана структура даних для пересилання по тунелю PPTP. [Додаток 3]
Система-відправник посилає дані через тунель. Система-одержувач видаляє всі службові заголовки, залишаючи тільки дані PPP.
· L2TP
У найближчому майбутньому очікується зростання кількості віртуальних приватних мереж, розгорнутих на базі нового протоколу тунелювання другого рівня Layer 2 Tunneling Protocol - L2TP.
L2TP з'явився в результаті об'єднання протоколів PPTP і L2F (Layer 2 Forwarding). PPTP дозволяє передавати через тунель пакети PPP, а L2F-пакети SLIP і PPP. Щоб уникнути плутанини і проблем взаємодії систем на ринку телекомунікацій, комітет Internet Engineering Task Force (IETF) рекомендував компанії Cisco Systems об'єднати PPTP і L2F. На загальну думку, протокол L2TP увібрав в себе кращі риси PPTP і L2F. Головне достоїнство L2TP в тому, що цей протокол дозволяє створювати тунель не тільки в мережах IP, але і в таких, як ATM, X.25 та Frame Relay. На жаль, реалізація L2TP в Windows 2000 підтримує тільки IP.
L2TP застосовує в якості транспорту протокол UDP і використовує однаковий формат повідомлень як для управління тунелем, так і для пересилання даних. L2TP в реалізації Microsoft використовує в якості контрольних повідомлень пакети UDP, що містять шифровані пакети PPP. Надійність доставки гарантує контроль послідовності пакетів.
Функціональні можливості PPTP і L2TP різні. L2TP може використовуватися не тільки в IP-мережах, службові повідомлення для створення тунелю і пересилки по ньому даних використовують однаковий формат і протоколи. PPTP може застосовуватися тільки в IP-мережах, і йому необхідно окреме з'єднання TCP для створення і використання тунелю. L2TP поверх IPSec пропонує більше рівнів безпеки, ніж PPTP, і може гарантувати майже 100-відсоткову безпеку важливих для організації даних. Особливості L2TP роблять його дуже перспективним протоколом для побудови віртуальних мереж.
Протоколи L2TP і PPTP відрізняються від протоколів тунелювання третього рівня рядом особливостей:
1. Надання корпораціям можливості самостійно обирати спосіб аутентифікації користувачів та перевірки їх повноважень - на власній «території» або у провайдера Інтернет-послуг. Обробляючи тунельованого пакети PPP, сервери корпоративної мережі отримують всю інформацію, необхідну для ідентифікації користувачів.
2. Підтримка комутації тунелів - завершення одного тунелю та ініціювання іншого до одного з безлічі потенційних термінаторів. Комутація тунелів дозволяє, як би продовжити PPP - з'єднання до необхідної кінцевої точки.
3. Надання системним адміністраторам корпоративної мережі можливості реалізації стратегій призначення користувачам прав доступу безпосередньо на брандмауері і внутрішніх серверах. Оскільки термінатори тунелю отримують пакети PPP з відомостями про користувачів, вони в змозі застосовувати сформульовані адміністраторами стратегії безпеки до трафіку окремих користувачів. (Туннелирование третього рівня не дозволяє розрізняти надходять від провайдера пакети, тому фільтри стратегії безпеки доводиться застосовувати на кінцевих робочих станціях і мережевих пристроях.) Крім того, у разі використання тунельного комутатора з'являється можливість організувати «продовження» тунелю
другого рівня для безпосередньої трансляції трафіку окремих
користувачів до відповідних внутрішніх серверів. На такі сервери може бути покладено завдання додаткової фільтрації пакетів.
Також на канальному рівні для організації тунелів може використовуватися технологія MPLS.
· MPLS
Від англійського Multiprotocol Label Switching - мультипротокольна комутація по мітках - механізм передачі даних, який емулює різні властивості мереж з комутацією каналів поверх мереж з комутацією пакетів. MPLS працює на рівні, який можна було б розташувати між канальним і третім мережевим рівнями моделі OSI, і тому його зазвичай називають протоколом канально-мережевого рівня. Він був розроблений з метою забезпечення універсальної служби передачі даних як для клієнтів мереж з комутацією каналів, так і мереж з комутацією пакетів. За допомогою MPLS можна передавати трафік самої різної природи, такої як IP-пакети, ATM, SONET і кадри Ethernet.
Рішення з організації VPN на канальному рівні мають досить обмежену область дії, як правило, в рамках домену провайдера.
2.2 Мережевий рівень
Мережевий рівень (рівень IP). Використовується протокол IPSec реалізує шифрування і конфіденційність даних, а також аутентифікацію абонентів. Застосування протоколу IPSec дозволяє реалізувати повнофункціональний доступ еквівалентний фізичній підключенню до корпоративної мережі. Для встановлення VPN кожен з учасників повинен сконфігурувати певні параметри IPSec, тобто кожен клієнт повинен мати програмне забезпечення реалізує IPSec.· IPSec
Природно, ніяка компанія не хотіла б відкрито передавати в
Інтернет фінансову або іншу конфіденційну інформацію. Канали VPN захищені потужними алгоритмами шифрування, закладеними в стандарти протоколу безпеки IРsec. IPSec або Internet Protocol Security - стандарт, обраний міжнародним співтовариством, групою IETF - Internet Engineering Task Force, створює основи безпеки для Інтернет-протоколу (IP / Протокол IPSec забезпечує захист на мережевому рівні і вимагає підтримки стандарту IPSec тільки від людей, що спілкуються між собою пристроїв по обидва сторони з'єднання. Усі інші пристрої, розташовані між ними, просто забезпечують трафік IP-пакетів.
Спосіб взаємодії осіб, що використовують технологію IPSec, прийнято визначати терміном «захищена асоціація» - Security Association (SA). Захищена асоціація функціонує на основі угоди, укладеної сторонами, які користуються засобами IPSec для захисту переданої одна одній інформації. Ця угода регулює декілька параметрів: IP-адреси відправника та одержувача, криптографічний алгоритм, порядок обміну ключами, розміри ключів, термін служби ключів, алгоритм аутентифікації.
IPSec - це узгоджений набір відкритих стандартів, має ядро, яке може бути досить просто доповнено новими функціями і протоколами. Ядро IPSec складають три протоколи:
· АН або Authentication Header - заголовок аутентифікації - гарантує цілісність і автентичність даних. Основне призначення протоколу АН - він дозволяє приймальній стороні переконатися, що:
1. пакет був відправлений стороною, з якою встановлена безпечна асоціація;
2. вміст пакету не було спотворено в процесі його передачі по мережі;
пакет не є дублікатом вже отриманого пакета.
Дві перші функції обов'язкові для протоколу АН, а остання вибирається при встановленні асоціації за бажанням. Для виконання цих функцій протокол АН використовує спеціальний заголовок. Його структура розглядається за такою схемою:
1. У полі наступного заголовка (next header) вказується код протоколу більш високого рівня, тобто протоколу, повідомлення якого розміщено на полі даних IP-пакета.
2. У поле довжини корисного навантаження (payload length) міститься довжина заголовка АН.
3. Індекс параметрів безпеки (Security Parameters Index, SPI) використовується для зв'язку пакету з передбаченою для нього безпечної асоціацією.
4. Поле порядкового номера (Sequence Number, SN) вказує на порядковий номер пакету і застосовується для захисту від його помилкового відтворення (коли третя сторона намагається повторно використовувати перехоплені захищені пакети, відправлені реально аутентіфіцированний відправником).
5. Поле даних аутентифікації (authentication data), яке містить так зване значення перевірки цілісності (Integrity Check Value, ICV), використовується для аутентифікації і перевірки цілісності пакету. Це значення, зване також дайджестом, обчислюється за допомогою однієї з двох обов'язково підтримуваних протоколом АН обчислювально необоротних функцій MD5 або SAH-1, але може використовуватися і будь-яка інша функція.
· ESP або Encapsulating Security Payload - інкапсуляція зашифрованих даних - шифрує передані дані, забезпечуючи конфіденційність, може також підтримувати аутентифікацію та цілісність даних;
Протокол ESP вирішує дві групи завдань.
1. До першої належать завдання, аналогічні завданням протоколу АН, - це забезпечення аутентифікації і цілісності даних на основі дайджесту,
2. До другої - захист переданих даних шляхом їх шифрування від несанкціонованого перегляду.
Тема ділиться на дві частини, що розділяються полем даних.
1. Перша частина, яка називається власне заголовком ESP, утворюється двома полями (SPI і SN), призначення яких аналогічно однойменним полям протоколу АН, і розміщується перед полем даних.
2. Решта службові поля протоколу ESP, звані кінцевиком ESP, розташовані в кінці пакета.
Два поля кінцевика - наступного заголовка і даних аутентифікації - аналогічні полям заголовка АН. Поле даних аутентифікації відсутня, якщо при встановленні безпечної асоціації прийнято рішення не використовувати можливостей протоколу ESP по забезпеченню цілісності. Крім цих полів кінцевик містить два додаткових поля - заповнювач і довжини заповнювача.
Протоколи AH і ESP можуть захищати дані в двох режимах:
1. в транспортному - передача ведеться з оригінальними IP-заголовками;
2. в тунельному - вихідний пакет поміщається в новий IP-пакет і передача ведеться з новими заголовками.
Застосування того чи іншого режиму залежить від вимог, що пред'являються до захисту даних, а також від ролі, яку відіграє в мережі вузол, завершальний захищений канал. Так, вузол може бути хостом (кінцевим вузлом) або шлюзом (проміжним вузлом). Відповідно, є три схеми застосування протоколу IPSec:
1. хост-хост;
2. шлюз-шлюз;
3. хост-шлюз.
Можливості протоколів АН і ESP частково перекриваються: протокол АН відповідає тільки за забезпечення цілісності та аутентифікації даних, протокол ESP може шифрувати дані і, крім того, виконувати функції протоколу АН (в урізаному вигляді). ESP може підтримувати функції шифрування і аутентифікації / цілісності в будь-яких комбінаціях, тобто або всю групу функцій, або лише аутентифікацію / цілісність, або тільки шифрування.
· IKE або Internet Key Exchange - обмін ключами Інтернету - вирішує допоміжну задачу автоматичного надання кінцевим точкам захищеного каналу секретних ключів, необхідних для роботи протоколів аутентифікації і шифрування даних.
2.3 Транспортний рівень
На транспортному рівні використовується протокол SSL / TLS або Secure Socket Layer / Transport Layer Security, який реалізує шифрування і аутентифікацію між транспортними рівнями приймача і передавача. SSL / TLS може застосовуватися для захисту трафіку TCP, не може застосовуватися для захисту трафіку UDP. Для функціонування VPN на основі SSL / TLS немає необхідності в реалізації спеціального програмного забезпечення так як кожен браузер і поштовий клієнт оснащені цими протоколами. У силу того, що SSL / TLS реалізується на транспортному рівні, захищене з'єднання встановлюється «з-кінця-в-кінець».TLS-протокол заснований на Netscape SSL-протоколі версії 3.0 і складається з двох частин - TLS Record Protocol і TLS Handshake Protocol. Різниця між SSL 3.0 і TLS 1.0 незначні.
SSL / TLS включає в себе три основних фази: 1) Діалог між сторонами, метою якого є вибір алгоритму шифрування; 2) Обмін ключами на основі криптосистем з відкритим ключем або аутентифікація на основі сертифікатів, 3) Передача даних, шифруються за допомогою симетричних алгоритмів шифрування .
2.4 Реалізація VPN: IPSec або SSL / TLS?
Найчастіше перед керівниками IT підрозділів стоїть питання: який з протоколів вибрати для побудови корпоративної мережі VPN? Відповідь не очевидна тому що кожен з підходів має як плюси, так і мінуси. Постараємося провести аналіз і виявити коли необхідно застосовувати IPSec, а коли SSL / TLS. Як видно з аналізу характеристик цих протоколів вони не є взаємозамінними і можуть функціонувати як окремо, так і паралельно, визначаючи функціональні особливості кожної з реалізованих VPN. Вибір протоколу для побудови корпоративної мережі VPN можна здійснювати за такими критеріями:
· Тип доступу необхідний для користувачів мережі VPN.
1. Повнофункціональне постійне підключення до корпоративної мережі. Рекомендований вибір - протокол IPSec.
2. Тимчасове підключення, наприклад, мобільного користувача або користувача використовує публічний комп'ютер, з метою отримання доступу до певних послуг, наприклад, електронною поштою або базі даних. Рекомендований вибір - протокол SSL / TLS, який дозволяє організувати VPN для кожної окремої послуги.
· Чи є користувач співробітником компанії.
1. Якщо користувач є співробітником компанії, пристрій яким він користується для доступу до корпоративної мережі через IPSec VPN може бути налаштоване деяким певним способом.
2. Якщо користувач не є співробітником компанії до корпоративної мережі якої здійснюється доступ, рекомендується використовувати SSL / TLS. Це дозволить обмежити гостьовий доступ тільки певними послугами.
· Який рівень безпеки корпоративної мережі.
1. Високий. Рекомендований вибір - протокол IPSec. Дійсно, рівень безпеки пропонований IPSec набагато вище рівня безпеки пропонованого протоколом SSL / TLS в силу використання конфигурируемого ПЗ на стороні користувача та шлюзу безпеки на стороні корпоративної мережі.
2. Середній. Рекомендований вибір - протокол SSL / TLS дозволяє здійснювати доступ з будь-яких терміналів.
3. У залежності від послуги - від середнього до високого. Рекомендований вибір - комбінація протоколів IPSec (для послуг вимагають високий рівень безпеки) та SSL / TLS (для послуг вимагають середній рівень безпеки).
· Рівень безпеки даних переданих користувачем.
1. Високий, наприклад, менеджмент компанії. Рекомендований вибір - протокол IPSec.
2. Середній, наприклад, партнер. Рекомендований вибір - протокол SSL / TLS.
У залежності від послуги - від середнього до високого. Рекомендований вибір - комбінація протоколів IPSec (для послуг вимагають високий рівень безпеки) та SSL / TLS (для послуг вимагають середній рівень безпеки).
· Що важливіше, швидке розгортання VPN або масштабованість рішення в майбутньому.
1. Швидке розгортання мережі VPN з мінімальними витратами. Рекомендований вибір - протокол SSL / TLS. У цьому випадку немає необхідності реалізації спеціального ПЗ на стороні користувача як у випадку IPSec.
2. Масштабованість мережі VPN - додавання доступу до різних послуг. Рекомендований вибір - протокол IPSec дозволяє здійснення доступу до всіх послуг і ресурсів корпоративної мережі.
3. Швидке розгортання і масштабованість. Рекомендований вибір - комбінація IPSec та SSL / TLS: використання SSL / TLS на першому етапі для здійснення доступу до необхідних послуг з наступним впровадженням IPSec.
· Туннелирование;
· Шифрування;
· Аутентифікація.
Транспортне середовище тунелю, як парою, підхоплює пакети використовуваного мережного протоколу біля входу в тунель і без змін доставляє їх до виходу. Побудови тунелю досить для того, щоб з'єднати два мережевих вузла так, що з точки зору працюючого на них програмного забезпечення вони виглядають підключеними до однієї (локальної) мережі. Однак не можна забувати, що насправді «парою» з даними проходить через безліч проміжних вузлів (маршрутизаторів) відкритої публічної мережі.
Такий стан справ таїть в собі дві проблеми. Перша полягає в тому, що передана через тунель інформація може бути перехоплена зловмисниками. Якщо вона конфіденційна (номери банківських карток, фінансові звіти, відомості особистого характеру), то цілком реальна загроза її компрометації, що вже саме по собі неприємно. Гірше того, зловмисники мають можливість модифікувати передані через тунель дані так, що одержувач не зможе перевірити їх достовірність. Наслідки можуть бути жахливими. З огляду на сказане, ми приходимо до висновку, що тунель в чистому вигляді придатний хіба що для деяких типів мережевих комп'ютерних ігор і не може претендувати на більш серйозне застосування. Обидві проблеми вирішуються сучасними засобами криптографічного захисту інформації. Щоб перешкодити внесенню несанкціонованих змін у пакет з даними на шляху його проходження по тунелю, використовується метод електронного цифрового підпису (ЕЦП). Суть методу полягає в тому, що кожен переданий пакет забезпечується додатковим блоком інформації, який виробляється у відповідності з асиметричним криптографічним алгоритмом і унікальний для вмісту пакету і секретного ключа ЕЦП відправника. Цей блок інформації є ЕЦП пакета і дозволяє виконати аутентифікацію даних одержувачем, якому відомий відкритий ключ ЕЦП відправника. Захист передаються через тунель даних від несанкціонованого перегляду досягається шляхом використання сильних алгоритмів шифрування.
Для аутентифікації користувачів PPTP може задіяти будь-який з протоколів, що застосовуються для PPP
· EAP або Extensible Authentication Protocol;
· MSCHAP або Microsoft Challenge Handshake Authentication Protocol (версії 1 і 2);
· CHAP або Challenge Handshake Authentication Protocol;
· SPAP або Shiva Password Authentication Protocol;
· PAP або Password Authentication Protocol.
Кращими вважаються протоколи MSCHAP версії 2 і Transport Layer Security (EAP-TLS), оскільки вони забезпечують взаємну аутентифікацію, тобто VPN-сервер і клієнт ідентифікують один одного. У всіх інших протоколах тільки сервер проводить аутентифікацію клієнтів.
Хоча PPTP забезпечує достатній рівень безпеки, але все ж L2TP поверх IPSec надійніше. L2TP поверх IPSec забезпечує аутентифікацію на рівнях «користувач» і 'комп'ютер', а також виконує аутентифікацію і шифрування даних.
Аутентифікація здійснюється або відритим тестом (clear text password), або за схемою запит / відгук (challenge / response). З прямим текстом все ясно. Клієнт посилає серверу пароль. Сервер порівнює це з еталоном і або забороняє доступ, або говорить «ласкаво просимо». Відкрита аутентифікація практично не зустрічається.
Схема запит / відгук набагато більш просунута. У загальному вигляді вона виглядає так:
· Клієнт посилає серверу запит (request) на аутентифікацію;
· Сервер повертає випадковий відгук (challenge);
· Клієнт знімає зі свого пароля хеш (хешем називається результат хеш-функції, яка перетворює вхідний масив даних довільної довжини в вихідну бітову рядок фіксованої довжини), шифрує їм відгук і передає його серверу;
· Те ж саме робить і сервер, порівнюючи отриманий результат з відповіддю клієнта;
· Якщо зашифрований відгук збігається, аутентифікація вважається успішною;
На першому етапі аутентифікації клієнтів і серверів VPN, L2TP поверх IPSec використовує локальні сертифікати, отримані від служби сертифікації. Клієнт і сервер обмінюються сертифікатами і створюють захищене з'єднання ESP SA (security association). Після того як L2TP (поверх IPSec) завершує процес аутентифікації комп'ютера, виконується аутентифікація на рівні користувача. Для аутентифікації можна задіяти будь-який протокол, навіть PAP, передавальний ім'я користувача та пароль у відкритому вигляді. Це цілком безпечно, так як L2TP поверх IPSec шифрує всю сесію. Проте проведення аутентифікації користувача за допомогою MSCHAP, застосовує різні ключі шифрування для аутентифікації комп'ютера і користувача, може посилити захист.
· Протокол шифрування MPPE або Microsoft Point-to-Point Encryption сумісний тільки з MSCHAP (версії 1 і 2);
· EAP-TLS і вміє автоматично вибирати довжину ключа шифрування при узгодженні параметрів між клієнтом і сервером.
MPPE підтримує роботу з ключами довжиною 40, 56 або 128 біт. Старі операційні системи Windows підтримують шифрування з довжиною ключа тільки 40 біт, тому в змішаному середовищі Windows слід вибирати мінімальну довжину ключа.
PPTP змінює значення ключа шифрування після кожного прийнятого пакета. Протокол MMPE розроблявся для каналів зв'язку точка-точка, в яких пакети передаються послідовно, і втрата даних дуже мала. У цій ситуації значення ключа для чергового пакету залежить від результатів дешифрування попереднього пакету. При побудові віртуальних мереж через мережі загального доступу ці умови дотримуватися неможливо, так як пакети даних часто приходять до одержувача не в тій послідовності, в якій були відправлені. Тому PPTP використовує для зміни ключа шифрування порядкові номери пакетів. Це дозволяє виконувати дешифрацию незалежно від попередніх прийнятих пакетів.
Обидва протоколу реалізовані як в Microsoft Windows, так і поза нею (наприклад, в BSD), на алгоритми роботи VPN можуть істотно відрізнятися. У NT (і похідних від неї системах). Основні відомості наведені в таблиці. [Додаток 6]
Таким чином, зв'язка «тунелювання + аутентифікація + шифрування» дозволяє передавати дані між двома точками через мережу загального користування, моделюючи роботу приватної (локальної) мережі. Іншими словами, розглянуті засоби дозволяють побудувати віртуальну приватну мережу.
Додатковим приємним ефектом VPN-з'єднання є можливість (і навіть необхідність) використання системи адресації, прийнятої в локальній мережі.
Реалізація віртуальної приватної мережі на практиці виглядає наступним чином. У локальної обчислювальної мережі офісу фірми встановлюється сервер VPN. Віддалений користувач (або маршрутизатор, якщо здійснюється з'єднання двох офісів) з використанням клієнтського програмного забезпечення VPN ініціює процедуру з'єднання з сервером. Відбувається аутентифікація користувача - перша фаза встановлення VPN-з'єднання. У разі підтвердження повноважень настає друга фаза - між клієнтом і сервером виконується узгодження деталей забезпечення безпеки з'єднання. Після цього організується VPN-з'єднання, що забезпечує обмін інформацією між клієнтом і сервером у формі, коли кожен пакет з даними проходить через процедури шифрування / дешифрування та перевірки цілісності - аутентифікації даних.
Основною проблемою мереж VPN є відсутність усталених стандартів аутентифікації і обміну шифрованого інформацією. Ці стандарти все ще знаходяться в процесі розробки і тому продукти різних виробників не можуть встановлювати VPN-з'єднання та автоматично обмінюватися ключами. Дана проблема тягне за собою уповільнення розповсюдження VPN, так як важко змусити різні компанії користуватися продукцією одного виробника, а тому утруднений процес об'єднання мереж компаній-партнерів у, так звані, extranet-мережі.
Чого ж можна очікувати в плані розвитку технологій VPN в майбутньому? Без всякого сумніву, буде вироблений і затверджений єдиний стандарт побудови подібних мереж. Швидше за все, основою цього стандарту буде, вже зарекомендував себе протокол IPSec. Далі, виробники сконцентруються на підвищенні продуктивності своїх продуктів і на створенні зручних засобів управління VPN. Швидше за все, розвиток засобів побудови VPN буде йти в напрямку VPN на базі маршрутизаторів, так як дане рішення поєднує в собі досить високу продуктивність, інтеграцію VPN і маршрутизації в одному пристрої. Однак будуть розвиватися і недорогі рішення для невеликих організацій. На закінчення, треба сказати, що, незважаючи на те, що технологія VPN ще дуже молода, її чекає велике майбутнє.
2. Норманн Р. Вибираємо протокол VPN / Windows IT Pro. - М.: № 7, 200;
http://www.osp.ru/win2000/2001/07/010.htm
3. Петренко С. Захищена віртуальна приватна мережа: сучасний погляд на захист конфіденційних даних / Світ Internet. - М.: № 2, 2001;
4. Салліван К. Прогрес технології VPN. PCWEEK / RE, - М.: № 2, 1999;
5. Файльнер М. Віртуальні приватні мережі нового покоління LAN / Журнал мережевих рішень, - М.: № 11, 2005;
http://www.osp.ru/lan/2005/11/030.htm
6. Фратто М. Секрети віртуальних приватних мереж. Мережі і системи зв'язку, № 3, 1998;
7. Штайнке С. VPN між локальними мережами. LAN / Журнал мережевих рішень, - М.: № 10,1998;
8. http://www.hub.ru/archives/2269
9. http://www.informit.com
10. http://www.mirreferatov.com
11. http://www.osp.ru/pcworld/2008/09
12. http://www.referat.su
13. http://www.ssl.stu.neva.ru/psw/crypto/pptp.html
14. http://www.xakep.ru
15. http://www.xserver.ru/computer/protokol/razn/13/
· Тип доступу необхідний для користувачів мережі VPN.
1. Повнофункціональне постійне підключення до корпоративної мережі. Рекомендований вибір - протокол IPSec.
2. Тимчасове підключення, наприклад, мобільного користувача або користувача використовує публічний комп'ютер, з метою отримання доступу до певних послуг, наприклад, електронною поштою або базі даних. Рекомендований вибір - протокол SSL / TLS, який дозволяє організувати VPN для кожної окремої послуги.
· Чи є користувач співробітником компанії.
1. Якщо користувач є співробітником компанії, пристрій яким він користується для доступу до корпоративної мережі через IPSec VPN може бути налаштоване деяким певним способом.
2. Якщо користувач не є співробітником компанії до корпоративної мережі якої здійснюється доступ, рекомендується використовувати SSL / TLS. Це дозволить обмежити гостьовий доступ тільки певними послугами.
· Який рівень безпеки корпоративної мережі.
1. Високий. Рекомендований вибір - протокол IPSec. Дійсно, рівень безпеки пропонований IPSec набагато вище рівня безпеки пропонованого протоколом SSL / TLS в силу використання конфигурируемого ПЗ на стороні користувача та шлюзу безпеки на стороні корпоративної мережі.
2. Середній. Рекомендований вибір - протокол SSL / TLS дозволяє здійснювати доступ з будь-яких терміналів.
3. У залежності від послуги - від середнього до високого. Рекомендований вибір - комбінація протоколів IPSec (для послуг вимагають високий рівень безпеки) та SSL / TLS (для послуг вимагають середній рівень безпеки).
· Рівень безпеки даних переданих користувачем.
1. Високий, наприклад, менеджмент компанії. Рекомендований вибір - протокол IPSec.
2. Середній, наприклад, партнер. Рекомендований вибір - протокол SSL / TLS.
У залежності від послуги - від середнього до високого. Рекомендований вибір - комбінація протоколів IPSec (для послуг вимагають високий рівень безпеки) та SSL / TLS (для послуг вимагають середній рівень безпеки).
· Що важливіше, швидке розгортання VPN або масштабованість рішення в майбутньому.
1. Швидке розгортання мережі VPN з мінімальними витратами. Рекомендований вибір - протокол SSL / TLS. У цьому випадку немає необхідності реалізації спеціального ПЗ на стороні користувача як у випадку IPSec.
2. Масштабованість мережі VPN - додавання доступу до різних послуг. Рекомендований вибір - протокол IPSec дозволяє здійснення доступу до всіх послуг і ресурсів корпоративної мережі.
3. Швидке розгортання і масштабованість. Рекомендований вибір - комбінація IPSec та SSL / TLS: використання SSL / TLS на першому етапі для здійснення доступу до необхідних послуг з наступним впровадженням IPSec.
3. Методи реалізації VPN мереж
Віртуальна приватна мережа базується на трьох методах реалізації:· Туннелирование;
· Шифрування;
· Аутентифікація.
3.1 Туннелирование
Тунелювання забезпечує передачу даних між двома точками - закінченнями тунелю - таким чином, що для джерела і приймача даних виявляється прихованою вся мережева інфраструктура, що лежить між ними.Транспортне середовище тунелю, як парою, підхоплює пакети використовуваного мережного протоколу біля входу в тунель і без змін доставляє їх до виходу. Побудови тунелю досить для того, щоб з'єднати два мережевих вузла так, що з точки зору працюючого на них програмного забезпечення вони виглядають підключеними до однієї (локальної) мережі. Однак не можна забувати, що насправді «парою» з даними проходить через безліч проміжних вузлів (маршрутизаторів) відкритої публічної мережі.
Такий стан справ таїть в собі дві проблеми. Перша полягає в тому, що передана через тунель інформація може бути перехоплена зловмисниками. Якщо вона конфіденційна (номери банківських карток, фінансові звіти, відомості особистого характеру), то цілком реальна загроза її компрометації, що вже саме по собі неприємно. Гірше того, зловмисники мають можливість модифікувати передані через тунель дані так, що одержувач не зможе перевірити їх достовірність. Наслідки можуть бути жахливими. З огляду на сказане, ми приходимо до висновку, що тунель в чистому вигляді придатний хіба що для деяких типів мережевих комп'ютерних ігор і не може претендувати на більш серйозне застосування. Обидві проблеми вирішуються сучасними засобами криптографічного захисту інформації. Щоб перешкодити внесенню несанкціонованих змін у пакет з даними на шляху його проходження по тунелю, використовується метод електронного цифрового підпису (ЕЦП). Суть методу полягає в тому, що кожен переданий пакет забезпечується додатковим блоком інформації, який виробляється у відповідності з асиметричним криптографічним алгоритмом і унікальний для вмісту пакету і секретного ключа ЕЦП відправника. Цей блок інформації є ЕЦП пакета і дозволяє виконати аутентифікацію даних одержувачем, якому відомий відкритий ключ ЕЦП відправника. Захист передаються через тунель даних від несанкціонованого перегляду досягається шляхом використання сильних алгоритмів шифрування.
3.2 Аутентифікація
Забезпечення безпеки є основною функцією VPN. Всі дані від комп'ютерів-клієнтів проходять через Internet до VPN-сервера. Такий сервер може знаходитися на великій відстані від клієнтського комп'ютера, і дані на шляху до мережі організації проходять через обладнання безлічі провайдерів. Як переконатися, що дані не були прочитані або змінені? Для цього застосовуються різні методи аутентифікації і шифрування.Для аутентифікації користувачів PPTP може задіяти будь-який з протоколів, що застосовуються для PPP
· EAP або Extensible Authentication Protocol;
· MSCHAP або Microsoft Challenge Handshake Authentication Protocol (версії 1 і 2);
· CHAP або Challenge Handshake Authentication Protocol;
· SPAP або Shiva Password Authentication Protocol;
· PAP або Password Authentication Protocol.
Кращими вважаються протоколи MSCHAP версії 2 і Transport Layer Security (EAP-TLS), оскільки вони забезпечують взаємну аутентифікацію, тобто VPN-сервер і клієнт ідентифікують один одного. У всіх інших протоколах тільки сервер проводить аутентифікацію клієнтів.
Хоча PPTP забезпечує достатній рівень безпеки, але все ж L2TP поверх IPSec надійніше. L2TP поверх IPSec забезпечує аутентифікацію на рівнях «користувач» і 'комп'ютер', а також виконує аутентифікацію і шифрування даних.
Аутентифікація здійснюється або відритим тестом (clear text password), або за схемою запит / відгук (challenge / response). З прямим текстом все ясно. Клієнт посилає серверу пароль. Сервер порівнює це з еталоном і або забороняє доступ, або говорить «ласкаво просимо». Відкрита аутентифікація практично не зустрічається.
Схема запит / відгук набагато більш просунута. У загальному вигляді вона виглядає так:
· Клієнт посилає серверу запит (request) на аутентифікацію;
· Сервер повертає випадковий відгук (challenge);
· Клієнт знімає зі свого пароля хеш (хешем називається результат хеш-функції, яка перетворює вхідний масив даних довільної довжини в вихідну бітову рядок фіксованої довжини), шифрує їм відгук і передає його серверу;
· Те ж саме робить і сервер, порівнюючи отриманий результат з відповіддю клієнта;
· Якщо зашифрований відгук збігається, аутентифікація вважається успішною;
На першому етапі аутентифікації клієнтів і серверів VPN, L2TP поверх IPSec використовує локальні сертифікати, отримані від служби сертифікації. Клієнт і сервер обмінюються сертифікатами і створюють захищене з'єднання ESP SA (security association). Після того як L2TP (поверх IPSec) завершує процес аутентифікації комп'ютера, виконується аутентифікація на рівні користувача. Для аутентифікації можна задіяти будь-який протокол, навіть PAP, передавальний ім'я користувача та пароль у відкритому вигляді. Це цілком безпечно, так як L2TP поверх IPSec шифрує всю сесію. Проте проведення аутентифікації користувача за допомогою MSCHAP, застосовує різні ключі шифрування для аутентифікації комп'ютера і користувача, може посилити захист.
3.3. Шифрування
Шифрування за допомогою PPTP гарантує, що ніхто не зможе отримати доступ до даних при пересиланні через Internet. В даний час підтримуються два методи шифрування:· Протокол шифрування MPPE або Microsoft Point-to-Point Encryption сумісний тільки з MSCHAP (версії 1 і 2);
· EAP-TLS і вміє автоматично вибирати довжину ключа шифрування при узгодженні параметрів між клієнтом і сервером.
MPPE підтримує роботу з ключами довжиною 40, 56 або 128 біт. Старі операційні системи Windows підтримують шифрування з довжиною ключа тільки 40 біт, тому в змішаному середовищі Windows слід вибирати мінімальну довжину ключа.
PPTP змінює значення ключа шифрування після кожного прийнятого пакета. Протокол MMPE розроблявся для каналів зв'язку точка-точка, в яких пакети передаються послідовно, і втрата даних дуже мала. У цій ситуації значення ключа для чергового пакету залежить від результатів дешифрування попереднього пакету. При побудові віртуальних мереж через мережі загального доступу ці умови дотримуватися неможливо, так як пакети даних часто приходять до одержувача не в тій послідовності, в якій були відправлені. Тому PPTP використовує для зміни ключа шифрування порядкові номери пакетів. Це дозволяє виконувати дешифрацию незалежно від попередніх прийнятих пакетів.
Обидва протоколу реалізовані як в Microsoft Windows, так і поза нею (наприклад, в BSD), на алгоритми роботи VPN можуть істотно відрізнятися. У NT (і похідних від неї системах). Основні відомості наведені в таблиці. [Додаток 6]
Таким чином, зв'язка «тунелювання + аутентифікація + шифрування» дозволяє передавати дані між двома точками через мережу загального користування, моделюючи роботу приватної (локальної) мережі. Іншими словами, розглянуті засоби дозволяють побудувати віртуальну приватну мережу.
Додатковим приємним ефектом VPN-з'єднання є можливість (і навіть необхідність) використання системи адресації, прийнятої в локальній мережі.
Реалізація віртуальної приватної мережі на практиці виглядає наступним чином. У локальної обчислювальної мережі офісу фірми встановлюється сервер VPN. Віддалений користувач (або маршрутизатор, якщо здійснюється з'єднання двох офісів) з використанням клієнтського програмного забезпечення VPN ініціює процедуру з'єднання з сервером. Відбувається аутентифікація користувача - перша фаза встановлення VPN-з'єднання. У разі підтвердження повноважень настає друга фаза - між клієнтом і сервером виконується узгодження деталей забезпечення безпеки з'єднання. Після цього організується VPN-з'єднання, що забезпечує обмін інформацією між клієнтом і сервером у формі, коли кожен пакет з даними проходить через процедури шифрування / дешифрування та перевірки цілісності - аутентифікації даних.
Основною проблемою мереж VPN є відсутність усталених стандартів аутентифікації і обміну шифрованого інформацією. Ці стандарти все ще знаходяться в процесі розробки і тому продукти різних виробників не можуть встановлювати VPN-з'єднання та автоматично обмінюватися ключами. Дана проблема тягне за собою уповільнення розповсюдження VPN, так як важко змусити різні компанії користуватися продукцією одного виробника, а тому утруднений процес об'єднання мереж компаній-партнерів у, так звані, extranet-мережі.
Висновок
У даному рефераті ми розглянули протоколи та методи реалізації приватних віртуальних мереж. Переваги технології VPN в тому, що організація віддаленого доступу робиться не через телефонну лінію, а через Інтернет, що набагато дешевше і краще. Недолік технології VPN в тому, що кошти побудови VPN не є повноцінними засобами виявлення і блокування атак. Вони можуть запобігти ряду несанкціонованих дій, але далеко не всі можливості, які можуть використовуватися для проникнення в корпоративну мережу. Але, незважаючи на все це технологія VPN має перспективи на подальший розвиток.Чого ж можна очікувати в плані розвитку технологій VPN в майбутньому? Без всякого сумніву, буде вироблений і затверджений єдиний стандарт побудови подібних мереж. Швидше за все, основою цього стандарту буде, вже зарекомендував себе протокол IPSec. Далі, виробники сконцентруються на підвищенні продуктивності своїх продуктів і на створенні зручних засобів управління VPN. Швидше за все, розвиток засобів побудови VPN буде йти в напрямку VPN на базі маршрутизаторів, так як дане рішення поєднує в собі досить високу продуктивність, інтеграцію VPN і маршрутизації в одному пристрої. Однак будуть розвиватися і недорогі рішення для невеликих організацій. На закінчення, треба сказати, що, незважаючи на те, що технологія VPN ще дуже молода, її чекає велике майбутнє.
Використана література:
1. Лукацький А. Невідома VPN / Комп'ютер Пресс.-М.: № 10, 2001; http://abn.ru/inf/comdivss/network4.shtml2. Норманн Р. Вибираємо протокол VPN / Windows IT Pro. - М.: № 7, 200;
http://www.osp.ru/win2000/2001/07/010.htm
3. Петренко С. Захищена віртуальна приватна мережа: сучасний погляд на захист конфіденційних даних / Світ Internet. - М.: № 2, 2001;
4. Салліван К. Прогрес технології VPN. PCWEEK / RE, - М.: № 2, 1999;
5. Файльнер М. Віртуальні приватні мережі нового покоління LAN / Журнал мережевих рішень, - М.: № 11, 2005;
http://www.osp.ru/lan/2005/11/030.htm
6. Фратто М. Секрети віртуальних приватних мереж. Мережі і системи зв'язку, № 3, 1998;
7. Штайнке С. VPN між локальними мережами. LAN / Журнал мережевих рішень, - М.: № 10,1998;
8. http://www.hub.ru/archives/2269
9. http://www.informit.com
10. http://www.mirreferatov.com
11. http://www.osp.ru/pcworld/2008/09
12. http://www.referat.su
13. http://www.ssl.stu.neva.ru/psw/crypto/pptp.html
14. http://www.xakep.ru
15. http://www.xserver.ru/computer/protokol/razn/13/