- •4. Віртуальні приватні мережі.
- •М. Павликевич телекомунікаційні мережі
- •Лекції для студентів cпеціальності
- •7.092402 “Інформаційні мережі зв’язку”
- •4.1. Вступ
- •4.1.1.Традиційний режим тунелювання
- •4.1.2.Віртуальні приватні мережі з доступом через комутовані канали
- •4.1.2.1.Шифрування на Мережевому рівні
- •4.1.2.1.1.Віртуальні приватні мережі Канального рівня
- •Vpn на базі робочих станцій
- •5.Доступ віддаленого користувача через Internet
- •5.1.1.Основи тунелювання
- •5.1.2.Протоколи тунелювання
- •5.1.3.Як працює тунелювання
- •5.1.4.Протоколи тунелювання і основні вимоги до тунелювання
- •5.1.5.Типи пакетів
- •5.1.5.1.Типи тунелів
- •5.1.5.2.Добровільні тунелі
- •5.1.5.3.Вимушені тунелі
- •5.2.Статичний або динамічний раутінг
- •5.2.1.1.1.1.Властивості безпеки підвищеного рівня
- •5.2.1.2.Шифрування
- •5.2.2.Сертифікати
- •5.2.3.Автентифікація користувачів та управління доступом
- •5.2.4.Автентифікація користувача
- •5.2.5.Управління доступом
- •5.2.6.Поведінка сумісного захисту
- •5.2.7.Заголовок безпечної інкапсуляції (esp)
- •5.2.8.Фаза 1: проста загальна політика
- •5.2.9.Фаза 2: робочі групи замовників
- •5.2.10.Фаза 3: додання довірчої інфраструктури
- •5.2.11.Питання мережевої та системної інфраструктури
- •5.3.Захист на рівні транзакцій (eap –tls)
- •5.3.1.1.Адміністрування користувача
- •5.3.1.1.1.Масштабованість
- •5.3.1.2.Облік, аудит і сигналізація тривоги
5.2.10.Фаза 3: додання довірчої інфраструктури
У будь-якій асоціації захисту IPSec мандати ідентифікують комунікаційних партнерів (тобто, кінцеві пункти IPSec). Спосіб, яким партнери ідентифікують один одного має безпосередній вплив на жорсткість управління доступом та успіх впровадження. Для спрощення організації розпочинають працювати із спільними мандатами, з часом додаючи більш жорстку автентифікацію. Протягом початкового впровадження загальна політика використовує спільний секрктний ключ, бо це значно спрощує впровадження. Однак будь-хто, хто має цей ключ, має той сам IPSec-доступ. Всі системи в LAN, оснащені IPSec, є партнерами. Колишні службовці, які залишили організацію, можуть знати спільний секретний ключ. Протягом Фази 2 політики замовників націлені на системи з найвищим ризиком і збільшують рівень захисту, передбачений для них. Деякі організації впроіваджують третю фазу, при якій замінюють спільний секретний ключ на мандати, які уможливлюють жорстку ідентифікацію. У змішаних операційних середовищах можна використати інфраструктуру публічного ключа (Public Key Infrastructure – PKI). Партнери IPSec можуть бути автентифіковані за допомогою “сирих” публічних ключів, однак більшість організацій надає перевагу цифровим сертифікатам X.509, верифікованим довірчим сертифікаційним органом (Certification Authority – CA). PKI поєднує жорсткий контроль за доступом з масштабованим адмініструванням за допомогою використання ієрархій CA, перехресної сертифікації і делегування.
Розглядаючи приклади на рис. і , зауважимо, що сертифікати X.509 могли б бути використані для унікальної ідентифікації кожного учасника керівної групи. Здійснюючи це, ми, наприклад, дозволяємо головному адміністратору розрізняти запити до головного фінансового адміністратора і головного технічного адміністратора. Коли головний фінансовий адміністратор покидає організацію або змінює місце роботи, то його цифровий сертифікат може бути вилучений. Управління створенням, захищеним поширенням і вилученням цифрових сертифікатів для кожного службовця потребує створення довірчої інфраструктури. Організації впроваджують цю фазу, коли вони мають достатній досвід протягом використання попередніх фаз і готові до впровадження інструментарію, необхідного до широкомасштабного впровадження.
5.2.11.Питання мережевої та системної інфраструктури
Кожна модель впровадження і фаза потребує модернізації робочих станцій та серверів у цілій LAN організації. Слід брати до уваги такі питання, які мають вплив на впровадження:
якщо це можливо, то слід модернізувати ресурси, які мають вплив, із Windows 2000 та адаптерами, оснащеними IPSec, для формування захищених LAN-груп;
для серверів не рекомендується використовувати тільки програмне шифрування внаслідок значного зниження продуктивності; краще модернізувати операційну систему та адаптери перед впровадженням IPSec до сервера;
для чинних робочих груп доцільне впровадження Windows 2000;
для всіх нових робочих груп доцільне впровадження операційних систем та адаптерів, оснащених IPSec;
побудова підтримки IPSec на такій основі: встановлення нових адаптерів, оснащених IPSec, навіть якщо робоча станція або сервер не використовують (тепер) Windows 2000; готовність до включення захисту, коли впроваджено підтримку операційних систем.
Розтяжний протокол автентифікації (Extensible Authentification Protocol – EAP)
Як вказано вище, більшість впроваджень PPP забезпечують дуже обмежені методи автентифікації. EAP запропонований IETF як розширення PPP, яке допускає довільний механізм автентифікації для встановлення PPP-сполучення. EAP опрацьований із можливістю динамічного додавання вимінних модулів автентифікації на обидвох кінцях сполучення (клієнта і сервера). Це дозволяє виготівнику додавати нові схеми автентифікації у будь-який час. EAP забезпечує найвищу гнучкість, унікальність автентифікації та її зміну. EAP впроваджений у Microsoft Windows NT 5.0.