45. Варіанти побудови однорангових vpn.
• VPN на базе сетевых операционных систем;
• VPN на базе маршрутизаторов;
• VPN на базе межсетевых экранов;
• VPN на базе специализированного программного обеспечения.
46. Загальні характеристики сe-, p- та pe-маршрутизаторів. Приклад використання.
P (provider) — магистральный маршрутизатор, образующий MPLS core. Осуществляет коммутацию пакетов на основании информации в метке (label) пакета. Не оперирует маршрутной информацией, относящейся к VPN.
РЕ (provider edge) — маршрутизатор, расположенный на границе сети MPLS в точке доступа ТТК. К нему подключаются клиентские узлы. Поддерживает VRF клиентов, подключенных к данному узлу. Взаимодействует с другими PE для поддержки VRF, при необходимости осуществляет классификацию траффика в соответствии с правилами, заданными в VRF.
СЕ (customer edge) — маршрутизатор доступа, расположенный на территории клиента. Осуществляет обмен маршрутной информацией с PE. Как правило, не использует MPLS.
47. Транспортні послуги. Vpn. Загальні характеристики.
IPSec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. В основном, применяется для организации vpn-соединений.
IPSec способен функционировать в двух режимах: транспортном и туннельном, которые представляют собой два разных подхода к обеспечению безопасности. В транспортном режиме шифруются только полезные данные сообщения - непосредственно информация, подлежащая передаче в процессе сеанса связи. В туннельном - шифрованию подлежат данные, заголовок и маршрутная информация. Нет необходимости говорить, что применение IPSec в транспортном режиме гораздо более рискованно, нежели в туннельном.
47. Транспортні послуги. Vpn. Загальні характеристики.
Аббревиатура VPN расшифровывается как Virtual Private Network – “виртуальная частная сеть”. Суть этой технологии в том, что при подключении к VPN серверу при помощи специального программного обеспечения поверх общедоступной сети в уже установленном соединении организуется зашифрованный канал, обеспечивающий высокую защиту передаваемой по этому каналу информации за счёт применения специальных алгоритмов шифрования. В общем случае VPN - это объединение локальных сетей или отдельных машин, подключенных к сети общего пользования, в единую виртуальную (наложенную) сеть, обеспечивающую секретность и целостность передаваемой по ней информации (прозрачно для пользователей). Использование технологии VPN необходимо там, где требуется защита корпоративной сети от воздействия вирусов, злоумышленников, просто любопытных, а также от других угроз, являющихся результатом ошибок в конфигурировании или администрировании сети.
Существует три категории сетей VPN:
Коммутируемые сети. Такая сеть VPN связывает надомных работников, мобильных пользователей и даже небольшие удаленные подразделения компании (интенсивность трафика которых невысока) с глобальной сетью предприятия и корпоративными вычислительными ресурсами.
Интрасети. Интрасеть VPN соединяет фиксированные подразделения, филиалы и домашние офисы в рамках глобальной сети предприятия.
Экстрасети. Такая сеть позволяет ограниченный доступ к вычислительным ресурсам предприятия деловым партнерам (например, поставщикам или клиентам) с целью совместного использования информации, представляющей общий интерес.
Для реализации каждого из указанных типов сетей VPN используются наборы соответствующих протоколов.
Протоколы VPN
Для создания сетей VPN разработано множество протоколов. Каждый из этих протоколов обеспечивает определенные возможности VPN. Например, протокол IPSec (который является главным предметом обсуждения данной главы) предлагает методы шифрования сетевого уровня, обеспечивающие возможности аутентификации и сервис шифрования между конечными точками в общедоступных IP-сетях. Другие протоколы обеспечивают поддержку определенных возможностей VPN с помощью туннелирования, т.е. инкапсуляции данных или протоколов в другие протоколы. Ниже перечислены некоторые из наиболее популярных туннельных протоколов, используемых для создания сетей VPN
Протокол GRE (Generic Routing Encapsulation — общая инкапсуляция для маршрутизации).Разработанный Cisco туннельный протокол, обеспечивающий инкапсуляцию многих типов протокольных пакетов в туннели IP, создает виртуальную двухточечную связь с маршрутизаторами Cisco в удаленных точках IP-сети.
Протокол L2F (Layer 2 Forwarding — протокол пересылки уровня 2). Разработанный Cisco туннельный протокол, который позволяет создать сеть VPDN (Virtual Private Dialup Network — виртуальная частная коммутируемая сеть) — систему, обеспечивающую существование коммутируемых сетей, распространяющихся на удаленные домашние офисы, которые кажутся при этом непосредственной частью сети предприятия.
Протокол РРТР (Point-to-Point Tunneling Protocol — протокол туннелирования двухточечного соединения). Разработанный Microsoft сетевой протокол, обеспечивающий защищенную передачу данных от удаленного клиента к частному серверу предприятия с помощью создания сети VPN над IP-сетями. Протокол РРТР поддерживает маршрутизацию по требованию, многопротокольный обмен и виртуальные частные сети в открытых сетях типа Internet.
Протокол L2TP (Layer 2 Tunnel Protocol — протокол туннелирования РРР соединения уровня 2).Разработанный Cisco и Microsoft туннельный протокол, позволяющий создавать сети VPDN. Протокол L2TP является расширением протокола РРР (Point-to-Point Protocol — протокол передачи от точки к точке), используемого для сетей VPN, и объединяет лучшие возможности туннельных протоколов РРТР и L2F.
Протокол МРРЕ (Microsoft Point-to-Point Encryption — протокол Microsoft шифрования двухточечного соединения). Средство перевода пакетов РРР в шифрованную форму. Позволяет создать защищенную VPN-связь через коммутируемую или удаленную сеть. Для обеспечения конфиденциальности данных в рамках МРРЕ используется алгоритм шифрования RSA типа RC4.
Что такое IPSec
IP Security - это комплект протоколов, касающихся вопросов шифрования, аутентификации и обеспечения защиты при транспортировке IP-пакетов; в его состав сейчас входят почти 20 предложений по стандартам и 18 RFC. Продукты Cisco для поддержки VPN используют набор протоколов IPSec, являющийся на сегодня промышленным стандартом обеспечения широких возможностей VPN. IPSec предлагает механизм защищенной передачи данных в IP-сетях, обеспечивая конфиденциальность, целостность и достоверность данных, передаваемых через незащищенные сети типа Internet. IPSec обеспечивает следующие возможности VPN в сетях Cisco:
Конфиденциальность данных. Отправитель данных IPSec имеет возможность шифровать пакеты перед тем, как передавать их по сети.
Целостность данных. Получатель данных IPSec имеет возможность аутентифицировать сообщающиеся с ним стороны (устройства или программное обеспечение, в которых начинаются и заканчиваются туннели IPSec) и пакеты IPSec, посылаемые этими сторонами, чтобы быть уверенным в том, что данные не были изменены в пути.
Аутентификация источника данных. Получатель данных IPSec имеет возможность аутентифицировать источник получаемых пакетов IPSec. Этот сервис зависит от сервиса целостности данных.
Защита от воспроизведения. Получатель данных IPSec может обнаруживать и отвергать воспроизведенные пакеты, не допуская их фальсификации и проведения атак внедрения посредника.
IPSec представляет собой основанный на стандартах набор протоколов и алгоритмов защиты. Технология IPSec и связанные с ней протоколы защиты соответствуют открытым стандартам, которые поддерживаются группой IETF (Internet Engineering Task Force -- проблемная группа проектирования Internet) и описаны в спецификациях RFC и проектах IETF. IPSec действует на сетевом уровне, обеспечивая защиту и аутентификацию пакетов IP, пересылаемых между устройствами (сторонами) IPSec - такими как маршрутизаторы Cisco, брандмауэры PIX Firewall, клиенты и концентраторы Cisco VPN, а также многие другие продукты, поддерживающие IPSec. Средства поддержки IPSec допускают масштабирование от самых малых до очень больших сетей.
Виртуальные частные сети (VPN), создаваемые на базе арендуемых и коммутируемых каналов связи сетей общего пользования (и, в первую очередь, Интернет), являются отличной альтернативой изолированным корпоративным сетям, причем, альтернативой, обладающей рядом несомненных преимуществ: - низкая стоимость арендуемых каналов и коммуникационного оборудования - развитая топология сети (широкий географический охват); - высокая надежность; - легкость масштабирования (подключения новых сетей или пользователей); - легкость изменения конфигурации; - контроль событий и действий пользователей. Можно выделить три фундаментальных свойства, превращающих наложенную корпоративную сеть, построенную на базе сети общего пользования, в виртуальную частную сеть: - шифрование - аутентификация - контроль доступа. Только реализация всех этих трех свойств позволяет защитить пользовательские машины, серверы предприятия и данные, передаваемые по физически незащищенным каналам связи, от внешних нежелательных вторжений, утечки информации и несанкционированных действий. 48. Транспортні послуги. Доступ до Інтернет. Загальні характеристики.
В результате объединения локальных компьютерных сетей образуются региональные, национальные и глобальные компьютерные сети.
Наиболее известной из глобальных компьютерных сетей является сеть Интернет.
Интернет - совокупность сетей (гиперсеть, мегасеть, сеть сетей), использующих протокол TCP/IP. Интернет – это объединенные между собой компьютерные сети, глобальная мировая система передачи информации с помощью информационно-вычислительных ресурсов.
Протокол TCP/IP - протокол управления передачей/межсетевой протокол.
Его двойное название объясняется просто: TCP (Transmission Control Protocol- Протокол управления передачей) и IP (Internet Protocol - межсетевой протокол) -- два разных протокола, работающих в одной "связке". TCP отвечает за разбиение передаваемой информации на блоки. К каждому блоку добавляется заголовок длиной 20 байт, в результате формируется пакет.
Протокол IP предназначен для того, чтобы доставлять определенные порции информации (IР - пакеты) с одного компьютера на другой.
IP отвечает непосредственно за передачу данных по сети и адресацию.
В Internet имеется несколько видов доступа. Чем больше возможностей предоставляет вид доступа и чем более он быстр, тем он более дорог.
Рассмотрим различные способы подключения в порядке убывания стоимости.
Непосредственный доступ
Доступ «по вызову» (Dial-up Access, Dial-up)
Доступ UUCP
Доступ через другие сети
1)Непосредственный доступ позволяет использовать все возможности сети.
Это вид доступа имеет смысл иметь только большим организациям. Такой доступ также называют ``прямым''. Он даёт полный доступ ко всем возможностям сети.
Либо провайдер, либо сам клиент арендует выделенную телефонную линию с необходимой пропускной способностью (чем быстрее, тем дороже). Поставщик размещает узловой компьютер (сетевой сервер) непосредственно у клиента. Этот узел организует связь сети клиента с другими узлами и пересылку данных в обе стороны.
Удовольствие это дорогое, от примерно $1000 первоначального взноса и до тысяч долларов ежемесячно, и это без учёта затрат на аренду или эксплуатацию самой линии связи. Однако, имея такое соединение, клиент может подключать к этому узлу столько компьютеров, сколько ему заблагорассудится. Для этого надо просто связать все эти компьютеры вместе с узлом локальной сетью, например, сетью Ethernet.
Непосредственный доступ предлагает наиболее гибкое подключение, при котором каждый из компьютеров является полноправным членомInternet и может воспользоваться любой из функций сети. Если клиенту нужно использовать какое-либо новое программное обеспечение, работающее с сетью, ему для этого достаточно установить его у себя и запустить, никаких сношений с провайдером не нужно.
Учтите, однако, что непосредственный доступ имеет смысл, только если есть достаточно скоростная линия связи -- с пропускной способностью как минимум 64Kbps или есть возможность арендовать такую. При отсутствии таковой ваши возможности будут слишком ограничены, что сделает непосредственный доступ бессмысленным, а расходы неразумными. Кстати, в России услуги такого уровня очень редки.
Непосредственный Internet-доступ обычно требует наличия у клиента некоторой базовой структуры -- локальной сети. Поставщик может помочь при установке, но как только всё заработает, он станет ответственен только за узел сети и, возможно, за линию связи. Что там случается с локальной сетью, это уже проблемы самого клиента. Поэтому требуется соответствующее техническое сопровождение сети, что тоже повышает эксплуатационные затраты.
Однако, в данном случае клиент может сам предоставлять платные сетевые услуги различным частным лицам, отбирая, в некотором смысле, хлеб у провайдеров, и уменьшая тем самым свои общие затраты.