- •4. Віртуальні приватні мережі.
- •М. Павликевич телекомунікаційні мережі
- •Лекції для студентів cпеціальності
- •7.092402 “Інформаційні мережі зв’язку”
- •4.1. Вступ
- •4.1.1.Традиційний режим тунелювання
- •4.1.2.Віртуальні приватні мережі з доступом через комутовані канали
- •4.1.2.1.Шифрування на Мережевому рівні
- •4.1.2.1.1.Віртуальні приватні мережі Канального рівня
- •Vpn на базі робочих станцій
- •5.Доступ віддаленого користувача через Internet
- •5.1.1.Основи тунелювання
- •5.1.2.Протоколи тунелювання
- •5.1.3.Як працює тунелювання
- •5.1.4.Протоколи тунелювання і основні вимоги до тунелювання
- •5.1.5.Типи пакетів
- •5.1.5.1.Типи тунелів
- •5.1.5.2.Добровільні тунелі
- •5.1.5.3.Вимушені тунелі
- •5.2.Статичний або динамічний раутінг
- •5.2.1.1.1.1.Властивості безпеки підвищеного рівня
- •5.2.1.2.Шифрування
- •5.2.2.Сертифікати
- •5.2.3.Автентифікація користувачів та управління доступом
- •5.2.4.Автентифікація користувача
- •5.2.5.Управління доступом
- •5.2.6.Поведінка сумісного захисту
- •5.2.7.Заголовок безпечної інкапсуляції (esp)
- •5.2.8.Фаза 1: проста загальна політика
- •5.2.9.Фаза 2: робочі групи замовників
- •5.2.10.Фаза 3: додання довірчої інфраструктури
- •5.2.11.Питання мережевої та системної інфраструктури
- •5.3.Захист на рівні транзакцій (eap –tls)
- •5.3.1.1.Адміністрування користувача
- •5.3.1.1.1.Масштабованість
- •5.3.1.2.Облік, аудит і сигналізація тривоги
5.3.Захист на рівні транзакцій (eap –tls)
EAP-TLS запропонований IETF як ескізна пропозиція для жорсткого методу автентифікації, базованого на сертифікатах публічного ключа. При EAP-TLS клієнт подає сертифікат користувача до сервера доступу через комутовані канали, а у той сам час сервер подає свій сертифікат користувачу. Перше забезпечує жорстку автентифікацію користувача сервером; друге – гарантію, що користувач досягнув той сервер, який він бажав. Обидві системи покладаються на ланцюг довірених органів при верифікації правильності запропонованих сертифікатів.
Сертифікат користувача повинен зберігатися у комп’ютері клієнта комутованого каналу, або зберігтися на зовнішній інтелектуальній карті. У кожному випадку сертифікат не може бути доступний без певної форми ідентифікації користувача (PIN-номера або обміну іменем та паролем) між користувачем та комп’ютером клієнта. Цей підхід відповідає критерію “щось ти знаєш і щось ти маєш”, рекомендованому більшістю експертів від захисту інформації. EAP-TLS – це конкретний метод EAP, який може бути впроваджений у Windows 2000. Подібно до MS-CHAP, EAP-TLS може повернутися до ключа шифрування для наступного шифрування даних через MPPE.
5.3.1.1.Адміністрування користувача
При виборі технології VPN важливо розглянути питання адміністрування. Великі мережі потребують зберігати інформацію директорій користувачів (послуги директорій –directory service) у централізованому запам’ятовуючому пристрої, так що адміністратори і застосування можуть додавати, модифікувати або запитувати про цю інформацію. Кожен сервер доступу або тунельний сервер може обслуговувати власну внутрішню базу даних з засобами, орієнтованими на користувача, такими, як імена, паролі та атрибути дозволу на використання комутованих каналів. Однак, оскільки облік багатьох користувачів для багатьох серверів адміністративно не підтримується, то більшість адміністраторів встановлює головну базу даних обліку на сервері директорій (Directory Server), або на первинному контролері домену, або на RADIUS-сервері.
Підтримка в RAS
Microsoft Remote Access Server (RAS) опрацьований для роботи з інформацією, віднесеною до користувача, яка зберігається в котролері домену або на RADIUS-сервері. Використання контролера домену спрощує систему адміністрування, бо дозвіл на користування комутованими каналами є частиною інформації про користувача, яку завжди обслуговує адміністратор в конкретній базі даних. Microsoft RAS початково опрацьований як сервер доступу для користувачів комутованих каналів. RAS також є тунельним сервером для сполучень PPTP і L2TP. Підтримка L2TP додана до сервера Windows NT версії 5.0. Внаслідок цього це розв’язання для VPN Рівня 2 успадковує цілу інфраструктуру управління, доцільну для мережевої взаємодії через комутовані канали.
У Windows 2000 RAS може мати переваги нових послуг директорій (Directory Services) у реплікованих базах даних загальнокорпоративного засягу, базовані на протоколі LDAP. Lightweight Directory Access Protocol (LDAP) – це стандартний промисловий протокол для доступу до послуг директорій, опрацьований як простіша альтернатива до протоколу DAP X.500. LDAP є розтяжний, незалежний від виготівника і оснований на стандартах. Ця інтеграція з DS може дозволити адміністратору мати багато засобів для сесій з використанням комутованих каналів або VPN для індивідуальних користувачів або їх груп. Ці засоби можуть визначати фільтри для комутованих каналів, необхідні методи автентифікації або шифрування, обмеження для днів або часу і т.п.
Для мережевого адміністратора RAS-сервера, оснащеного PPTP, моніторування сесій PPTP у віртуальній приватній мережі ідентичне з моніторуванням RAS-сполучення. Він може бачити, які VPN-порти активні, статистики щодо тривалості сполучень, яка швидкість використовується та основну інформацію про пересилання даних; все це доступне через програму RAS Administration.