12.1. Тунелювання

На каш погляд, тунелювання варто розглядати як самостійний сервіс безпеки. Його суть полягає в тому, щоб "упакувати" передану порцію даних, разом зі службовими полями, у новий конверт". Як синоніми терміна "тунелювання" можуть використовуватися "конвертування" й "обгортання".

Тунелювання може застосовуватися для декількох цілей:

• передача через мережу пакетів, що належать протоколу, який у даній мережі не підтримується (наприклад, передача пакетів IPv6 через старі мережі, що підтримують тільки IPv4);

• забезпечення слабкої форми конфіденційності (у першу чергу конфіденційності графіка) за рахунок приховування істиних адрес та іншої службової інформації;

• забезпечення конфіденційності й цілісності переданих даних при використанні разом із криптографічними сервісами.

Тунелювання може застосовуватися як на мережевому, так і на прикладному рівнях. Наприклад, стандартизоване тунелювання для IP і подвійне конвертування для пошти Х.400.

На рис. 12.1 Показаний приклад обгортання пакетів IPv6 у формат IPv4.

Рис. 12.1. Обгортання пакетів IPv6 у формат IPv4 з метою їх тунелювання через мережі IPv4.

Комбінація тунелювання й шифрування (поряд з необхідною криптографічною інфраструктурою) на виділених шлюзах й екранування на маршрутизаторах постачальників мережевих послуг (для поділу просторів "своїх" та "чужих" мережевих адрес у дусі віртуальних локальних мереж) дозволяє реалізувати такий важливий в сучасних умовах захисний засіб, як віртуальні приватні мережі. Подібні мережі, накладені звичайно поверх Internet, є істотно дешевші й набагато безпечніші, ніж власні мережі організації, побудовані по виділених каналах. Комунікації на всьому їхньому шляху фізично захистити неможливо, тому краще споконвічно виходити із припущення про їхню уразливість і відповідно забезпечувати захист. Сучасні протоколи, спрямовані на підтримку класів обслуговування, допоможуть гарантувати для віртуальних приватних мереж задану пропускну здатність, величину затримок і т.п., ліквідуючи тим самим єдину на сьогодні реальну перевагу власних мереж.

ІР-пакет з істиними адресами та відкритим змістом

Міжмере-жевий екран 1 (1-й кінець тунеля)

Обгорнутий зашифро­ваний ІР-пакет з адресами кінців тунеля

Міжмере-жевий екран 2 (2-й кінець тунеля)

ІР-пакет з істиними адресами та відкритим змістом

Внутрішня мережа 1 Internet Внутрішня мережа 2

Рис. 12.2. Міжмережеві екрани як крапки реалізації сервісу віртуальних

приватних мереж

Кінцями тунелів, що реалізують віртуальні частки мережі, доцільно зробити міжмережеві екрани, що обслуговують підключення організацій до зовнішніх мереж (див. рис. 14.2). У такому випадку тунелювання й шифрування стануть додатковими перетвореннями, виконуваними в процесі фільтрації мережевого трафіка поряд із трансляцією адрес.

Кінцями тунелів, крім корпоративних міжмережевих екранів, можуть бути мобільні комп'ютери співробітників (точніше, їх персональні ME).