- •4. Віртуальні приватні мережі.
- •М. Павликевич телекомунікаційні мережі
- •Лекції для студентів cпеціальності
- •7.092402 “Інформаційні мережі зв’язку”
- •4.1. Вступ
- •4.1.1.Традиційний режим тунелювання
- •4.1.2.Віртуальні приватні мережі з доступом через комутовані канали
- •4.1.2.1.Шифрування на Мережевому рівні
- •4.1.2.1.1.Віртуальні приватні мережі Канального рівня
- •Vpn на базі робочих станцій
- •5.Доступ віддаленого користувача через Internet
- •5.1.1.Основи тунелювання
- •5.1.2.Протоколи тунелювання
- •5.1.3.Як працює тунелювання
- •5.1.4.Протоколи тунелювання і основні вимоги до тунелювання
- •5.1.5.Типи пакетів
- •5.1.5.1.Типи тунелів
- •5.1.5.2.Добровільні тунелі
- •5.1.5.3.Вимушені тунелі
- •5.2.Статичний або динамічний раутінг
- •5.2.1.1.1.1.Властивості безпеки підвищеного рівня
- •5.2.1.2.Шифрування
- •5.2.2.Сертифікати
- •5.2.3.Автентифікація користувачів та управління доступом
- •5.2.4.Автентифікація користувача
- •5.2.5.Управління доступом
- •5.2.6.Поведінка сумісного захисту
- •5.2.7.Заголовок безпечної інкапсуляції (esp)
- •5.2.8.Фаза 1: проста загальна політика
- •5.2.9.Фаза 2: робочі групи замовників
- •5.2.10.Фаза 3: додання довірчої інфраструктури
- •5.2.11.Питання мережевої та системної інфраструктури
- •5.3.Захист на рівні транзакцій (eap –tls)
- •5.3.1.1.Адміністрування користувача
- •5.3.1.1.1.Масштабованість
- •5.3.1.2.Облік, аудит і сигналізація тривоги
5.2.Статичний або динамічний раутінг
Коли інтерфейс виклику на вимогу створено і здійснено вибір між тимчасовим і постійним сполученнями, то слід вибрати один із таких методів для додавання раутінгової інформації до таблиці раутінгу:
Для тимчасових сполучень можна вручну додати потрібні статичні маршрути для досягнення мережевих ідентифікаторів у інших офісах. Конфігурування вручну статичних маршрутів придатне для малих впроваджень з малою кількістю маршрутів.
Для тимчасових сполучень можна використати автостатичні модифікації для періодичної модифікації статичних маршрутів, наявних крізь VPN-сполучення раутер-раутер. Автостатичні маршрути добре працюють для великих впроваджень з великим обсягом раутінгової інформації.
Для постійних сполучень слід виконати відповідний протокол раутінгу через VPN-сполучення раутер-раутер, трактуючи VPN-сполучення як зв’язок “пункт-пункт”.
Зауважимо, що на відміну від раутінгу для виклику на вимогу з використанням безпосереднього фізичного сполучення, не можна вживати IP-маршруту за замовчуванням, сконфігурованого для VPN-інтерфейсу виклику на вимогу для підсумування всіх intranet-маршрутів, наявних крізь VPN. Оскільки раутер під’єднаний до Internet, слід використати маршрут за замовчуванням для підсумування всіх маршрутів до Internet і сконфігурувати його для використання Internet-інтерфейсу.
Автентифікація з таємним ключем для VPN-сполучення раутер-раутер для L2TP понад IPSec
За замовчуванням L2TP-клієнт і L2TP-сервер для Windows 2000 попередньо сконфігуровані для IPSec-автентифікації, базованої на сертифікатах. (далі не перекладено).
5.2.1.1.1.1.Властивості безпеки підвищеного рівня
Оскільки Internet здійснює утворення VPN будь-звідки, то мережі потребують жорстких засобів захисту для запобігання небажаному доступу до приватних мереж і для захисту приватних даних, які перетинають публічні мережі. Автентифікація користувачів і шифрування даних вже розглядалися. Тут зроблено огляд засобів для більш жорстких автентифікації і шифрування, ніж ті, котрі наявні в EAP та IPSec. Огляд розпочинається від шифрування з публічними ключами і базованими на них сертифікатами, оскільки вони відіграють важливу роль у нових засобах захисту EAP та IPSec, які розробляються фірмою Microsoft та іншими виробниками програмного забезпечення.
Всесторонні VPN-розв’язання вимагають поєднання трьох вирішальних технологічних компонент: захисту інформації, управління трафіком і керування предметною областю (enterprise management).
Захист інформації – це ключові технології, які охплюють компоненти захисту VPN: контроль доступу для гарантування безпеки мережевих сполучень, шифрування для захисту приватності даних, автентифікація для перевірки ідентичності користувача, а також цілісності даних.
Управління трафіком – друга вирішальна технологія при впровадженні ефективних VPN, необхідна для гарантування надійності, якості послуг і високошвидкісних властивостей мережі. Комунікації Internet можуть бути перевантажені, надавання послуг через них може бути непридатне для вирішальних бізнес-застосувань, хоч трафік пріорітизований і надійно доручається.
Керування предметною областю – остання з вирішальних компонент VPN, яка гарантує інтеграцію VPN в загальну політику безпеки, централізоване адміністрування із локальної або віддаленої консолі та масштабованість вирішень.
Для практичного впровадження VPN необхідне поєднання всіх цих трьох компонент. Тут розглянено
різні типи схем шифрування та методи, які вживаються у VPN-розв’язаннях;
автентифікацію даних та автентифікацію користувачів, які відрізняються одна від одної;
схеми автентифікації користувачів, які використовуються для перевірки користувачів мережі перед наданням їм доступу;
діяльність у органах стандартизації.
Технології управління трафіком та керування організацією будуть розглянені далі.