3. Сервіси vpn (Слайд 13)
Важливе значення при побудові захищеної віртуальної мережі VPN має задача забезпечення інформаційної безпеки. Згідно загальноприйнятому визначенню, під безпекою даних розуміють їх конфіденційність, цілісність і доступність. Стосовно задач VPN критерії безпеки можуть бути визначені таким чином:
конфіденційність – гарантія того, що в процесі передачі по захищених каналах VPN дані можуть бути відомі тільки легальним відправнику і одержувачу;
цілісність – гарантія збереження даних, що передаються, під час проходження по захищеному каналу VPN. Будь-які спроби зміни, модифікації, руйнування або створення нових даних будуть знайдені і стануть відомі легальним користувачам;
автентифікація та запобігання відмовленню від авторства
Конфіденційність забезпечується за допомогою різних методів і алгоритмів симетричного і асиметричного шифрування. Цілісність даних звичайно досягається за допомогою різних варіантів технології електронного підпису, заснованих на симетричних і асиметричних методах шифрування і односторонніх функціях.
Автентифікація здійснюється на основі багаторазових і одноразових паролів, цифрових сертифікатів, смарт-карт, протоколів строгої автентифікації і забезпечує встановлення VPN-з'єднання тільки між легальними користувачами, запобігаючи доступу до засобів VPN небажаних осіб.
Авторизація має на увазі надання абонентам, що вже довели свою легальність (автентичність), певних видів обслуговування, зокрема різних способів шифрування їх трафіку. Авторизація і управління доступом часто реалізуються одними і тими ж засобами.
Для забезпечення безпеки даних, що передаються у віртуальних приватних мережах повинні бути вирішені наступні основні задачі мережевої безпеки:
взаємна автентифікація абонентів при встановленні з'єднання;
забезпечення конфіденційності, цілісності і автентичності інформації, що передається;
авторизація і управління доступом.
Автентифікація абонентів
Процедура автентифікації (встановлення достовірності) дозволяє вхід легальним користувачам і запобігає доступу до мережі небажаних осіб. Автентифікацію слід відрізняти від ідентифікації. Суть останньої полягає в повідомленні користувачем системі свого ідентифікатора, тоді як автентифікація – це процедура доказу користувачем того, що він саме той, ким себе оголошує.
Сучасні засоби ідентифікації і автентифікації повинні задовольняти двом умовам:
підтримувати принцип єдиного входу в мережу;
бути стійкими до мережевих загроз (пасивному і активному прослуховуванню мережі).
П
ринцип
єдиного входу в мережу заснований на
тому, що користувач здійснює один
логічний вхід в мережу і після успішного
проходження автентифікації одержує
деякий набір дозволів по доступу до
мережевих ресурсів на весь час роботи
в мережі. Якщо в корпоративній мережі
багато інформаційних сервісів, що
допускають незалежний обіг, то багатократна
ідентифікація і автентифікація стає
дуже обтяжливими. Єдиний вхід в мережу
– це в першу чергу вимога
зручності для користувачів. На жаль,
поки він не став загальною
нормою.
Другу вимогу можна реалізувати, використовуючи криптографічні методи. В даний час загальноприйнятими є підходи, засновані на службі каталогів з сертифікатами в стандарті Х.509 або системі Kerberos.
Процедурі автентифікації можуть піддаватися не тільки користувачі, але і різні додатки, пристрої і дані. Наприклад, користувач, що звертається із запитом до корпоративного серверу і доводить йому свою достовірність, повинен сам переконатися, що веде діалог саме з необхідним сервером. Інакше кажучи, клієнт і сервер повинні пройти процедуру взаємної автентифікації.