Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4606 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Южный Федеральный Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Part_4.doc
Скачиваний:
20
Добавлен:
24.11.2019
Размер:
3.12 Mб
Скачать
►Содержание►

5.2.5.Управління доступом

Як тільки підтверджена ідентичність користувача, то його особистий профіль може точно визначити, які послуги і ресурси можуть або не можуть бути йому доступні в мережі. При забезпеченні управління доступом до особливих застосувань, організації здатні надавати доступ до своїх найбільш чутливих даних без компрометації безпеки мережі.

Архітектура управління доступом може впливати на поточну і наступну підтримку послуг, застосувань і протоколів, наявних у VPN-розв’язанні. Певні види архітектур, наприклад, основані на архітектурі проксі (proxy), дуже скорочують обсяг застосувань і послуг, бо кожне застосування, яке підтримується, вимагає спеціального проксі. Всесторонні VPN-розв’язання повинні мати архітектуру, яка підтримує всі основні послуги Internet включно із захищеними Web-браузерами, традиційну систему Internet-послуг, ціле сімейство TCP і протоколи без встановлення сполучення, такі, як RPC- та UDP-базовані застосування, а також протоколи, визначені користувачем. Крім того, VPN-архітектура повинна б підтримувати як опубліковані програмні інтерфейси застосувань (Application Program Interfaces – API), так і відкриті стандарти, так що третя група виготівників застосувань може просто вставляти їх у загальні розв’язання VPN.

Техніки розгортання VPN

Як описано раніше, для забезпечення приватності інформації, яка пересилається через незахищені канали, вживають різні криптографічні технології. Резим пересилання у VPN може визначати, які частини повідомлення зашифровані. Окремі розв’язання вимагають шифрування цілого повіломлення (IP-заголовка і даних), тоді як в інших шифруються тільки дані. У VPN використовують чотири режими пересилання:

  • доречний (in place) режим передавання – це типове розв’язання виготівників, коли шифруються тільки дані; розмір пакету не змінюється, тому вихідний механізм транспорту також незмінний;

  • режим транспортування – шифруються тільки дані і розмір пакету збільшується; цей режим забезпечує адекватну приватність даних між вузлами VPN;

  • шифрований тунельний режим – інформація IP-заголовка і дані шифруються, створюється нова IP-адреса, яка відображається на кінцеві пункти VPN, забезпечуючи загальну високу приватність даних;

  • нешифрований тунельний режим – нічого не шифрується, що означає пересилання всіх даних відкритим текстом; це неефективне розв’язання для забезпечення приватності даних.

С труктура кожного із цих режимів пересилання показана на рис. . Як не дивно, існують VPN-розв’язання, які взагалі не здійснюють жодного шифрування. Замість цього, вони покладаються на техніки інкапсуляції даних, такі як тунелювання або протокол пересилання (forwarding) для забезпечення приватності даних.

Рис. . Шифровані та нешифровані режими пересилання.

Не всі протоколи тунелювання і пересилання використовують криптографічні системи для приватності даних; такі розв’язання слід називати віртуальними мережами (Virtual Network – VN), а не віртуальними приватними мережами.

При впровадження VPN на міжнародному рівні слід враховувати, що існують країни, в якиїх діють заканодавчі обмеження на способи шифрування у VPN; звичайно ці обмеження стосуються максимальної довжини ключа.. У цих випадках розв’язанння VPN повинні обслуговувати багато різних схем шифрування, автентифікації та управління доступом. Ті розв’язання, які не можуть обслуговувати різні схеми шифрування, мусять задовільнятися “найгіршим” дозволеним алгоритмом через цілу VPN, що зменшує захищеність мережі.

Подальший рівень управління, доступний тільки в найбільш сучасних VPN-розв’язаннях – це здатність до вибіркового активування шифрувальних технологій для певних послуг і застосувань всередині VPN.

Досягнення стандартизації VPN – стандарт і протокол IETF IPSec

IP Security (IPSec)

IPSec опрацьований IEFT як наскрізний механізм для досягнення захисту даних в комунікаціях, базованих на IP. IPSec визначений у серії RFC, зокрема в RFC 1825, 1826 і 1827, які визначають загальну архітектуру протоколу, заголовок автентифікації (Autentification Header – AH) для перевірки цілісності даних та інкапсуляцію захищеного корисного навантаження (Encapsulation Security Payload - ESP) для забезпеченя цілісності та шифрування даних. IPSec визначає дві функції, які забезпечують конфіденційність: шифрування даних та цілісність даних. Як визначено IETF, IPSec використовує заголовок автентифікації (AH) для забезпечення автентифікації джерела та цілісності даних без шифрування, а інкапсуляція захищеного корисного навантаження (ESP) здійснює автентифікацію та захист цілісності даних із шифруванням. При використанні IPSec тільки надавач і приймач знають секретний ключ. Якщо автентифікаційні дані правильні, то приймач знає, що комунікація здійснюється від надавача і що інформація не змінюється при пересиланні.

IPSec може бути унаочнений як рівень під стеком TCP/IP. Цей рівень керований політикою захисту у кожному комп’ютері та поведінкою сумісного захисту. Якщо IP-адреса пакету, протокол і номер порта узгоджені з фільтром, то пакет є суб’єктом поведінки сумісного захисту.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности