- •4. Віртуальні приватні мережі.
- •М. Павликевич телекомунікаційні мережі
- •Лекції для студентів cпеціальності
- •7.092402 “Інформаційні мережі зв’язку”
- •4.1. Вступ
- •4.1.1.Традиційний режим тунелювання
- •4.1.2.Віртуальні приватні мережі з доступом через комутовані канали
- •4.1.2.1.Шифрування на Мережевому рівні
- •4.1.2.1.1.Віртуальні приватні мережі Канального рівня
- •Vpn на базі робочих станцій
- •5.Доступ віддаленого користувача через Internet
- •5.1.1.Основи тунелювання
- •5.1.2.Протоколи тунелювання
- •5.1.3.Як працює тунелювання
- •5.1.4.Протоколи тунелювання і основні вимоги до тунелювання
- •5.1.5.Типи пакетів
- •5.1.5.1.Типи тунелів
- •5.1.5.2.Добровільні тунелі
- •5.1.5.3.Вимушені тунелі
- •5.2.Статичний або динамічний раутінг
- •5.2.1.1.1.1.Властивості безпеки підвищеного рівня
- •5.2.1.2.Шифрування
- •5.2.2.Сертифікати
- •5.2.3.Автентифікація користувачів та управління доступом
- •5.2.4.Автентифікація користувача
- •5.2.5.Управління доступом
- •5.2.6.Поведінка сумісного захисту
- •5.2.7.Заголовок безпечної інкапсуляції (esp)
- •5.2.8.Фаза 1: проста загальна політика
- •5.2.9.Фаза 2: робочі групи замовників
- •5.2.10.Фаза 3: додання довірчої інфраструктури
- •5.2.11.Питання мережевої та системної інфраструктури
- •5.3.Захист на рівні транзакцій (eap –tls)
- •5.3.1.1.Адміністрування користувача
- •5.3.1.1.1.Масштабованість
- •5.3.1.2.Облік, аудит і сигналізація тривоги
5.3.1.1.1.Масштабованість
Надлишковість і балансування навантаження здійснюється з використанням циклічного (round-robin) DNS для розділення тунельних серверів VPN, які спільно використовують загальний периметр захисту. Периметр захисту має одне зовнішнє DNS-ім’я, наприклад, vpnx.support.bigcompany.com, однак декілька IP-адрес, і навантаження випадково розподіляється по всіх цих IP-адресах. Всі ці сервери можуть автентифікувати запити доступу за спільною базою даних, такою, як Windows NT Domain Controller. Відзначимо, що бази даних доменів Windows NT репліковані.
5.3.1.1.2.RADIUS
Протокол Remote Authentification Dial-in User Service (RADIUS) – це поширений метод для обслуговування автентифікації та авторизації віддалених користувачів. RADIUS є дуже легким протоколом, базованим на UDP. Сервери RADIUS можуть бути локалізовані будь-де в Internet і здійснювати автентифікацію (включно з PPP PAP, CHAP, MSCHAP, EAP) для своїх клієнтів NAS. Крім того, сервери RADIUS можуть забезпечувати послуги проксі (proxy) для пересилання автентифікаційних запитів до віддалених серверів RADIUS. Наприклад, багато ISP утворюють корсорціуми, щоб дозволяти переміщення абонентів з метою використання локальних послуг від найближчого ISP для доступу через комутовані канали до Internet і віртуального об’єднання мереж на глобальній основі. Ці “альянси для переміщень” використовують переваги послуг проксі RADIUS. Якщо ISP розпізнає ім’я користувача – абонента віддаленої мережі, то ISP використовує RADIUS-проксі для пересилання запиту на доступ до потрібної мережі. У результаті наявні ефективні вихідні розв’язання, у яких правила авторизації обслуговуються корпорацією і інфраструктура надавача послуг використовується для мінімізації вартості.
5.3.1.2.Облік, аудит і сигналізація тривоги
Для правильного адміністрування системи VPN мережеві адміністратори повинні бути здатні відслідкувати, де міститься користувач системи, як багато сполучень він здійснює, реєструвати незвичайну активність, умови помилок, а також ситуації, які можуть означати відмови обладнання або обман мережі. Інформація про реєстрацію та інформація в реальному часі може вживатися для нарахування оплат, аудиту та з метою сигналізації тривоги або реєстрації помилок. Наприклад, для обчислення оплати адміністратор може потребувати знати, хто під’єднаний до системи та як довго. Незвичайна активність може означати сумісне використання мережі або неадекватні системні ресурси. Моніторинг обладнання в реальному часі (наприклад, незвичайно висока активність одного модема і неактивність іншого) може генерувати сигнал тривоги, повідомляючи адміністратора про відмову модему або про неправильне використання системи. Тунельний сервер повинен забезпечувати всю цю інформацію, а система повинна здійснювати реєстрацію подій, генерування звітів та зберігання даних.
Microsoft Windows NT 4.0 забезпечує облік, аудит і реєстрацію помилок у RAS.
Протокол RADIUS визначає набір запитів для обліку викликів, які незалежні від запитів для автентифікації, що розгядалися вище. Ці повідомлення від RAS до RADIUS-сервера запитують останній про генерацію записів обліку від початку виклику, закінчення виклику і через наперед визначені інтервали часу протягом виклику. Сервер Windows NT 5.0 може природньо генерувати ці запити обліку RADIUS окремо від запитів на автентифікацію доступу (які могли б приходити до контролера домену або до RADIUS-сервера). Це може дозволити адміністратору сконфігурувати RADIUS-сервер для обліку незалежно від того, чи він використовується для автентифікації, чи ні. Сервер обліку може збирати записи для будь-якого VPN-сполучення з метою наступного планування ємності каналу, аудиту, прогнозу оплат та інших видів аналізу.
Література.
P. Ferguson, G. Huston. What is a VPN? http://firstvpn.com/papers/cisco/vpn.pdf
Virtual Private Networking: An Overview. – http://msdn.microsoft.com/workshop/server/feature/vpnovw.asp
J. M. Davidson. Virtual Private Networks: The Next Evolutionary Step. – http://www.nts.com/library/tlvpnhtppr.html
PPTP and Implementation of Microsoft Virtual Private Networking. – http://www.zeev.com/Inter/nrpptp.htm
Virtual Private Network Security Components. A technical White Paper. – http://www.checkpoint.com/products/vpn1/vpnwp.html
J. Ryan. A Practical Guide to the Right VPN Solution. The Technology Guide Series. – http://www.techguide.com
J. Ryan. Designing and Implementing a Virtual Private Network (VPN). The Technology Guide Series. – http://www.techguide.com
J. Ryan. How to Build Secure LANs with IPSec. The Technology Guide Series. – http://www.techguide.com
____________________________________________________________________________________________________ М. Павликевич. Телекомунікаційні мережі. Лекції для студентів спеціальності "Інформаційні мережі зв'язку, 2002.