Протокол рртр

(Point-to-point tunneling protocol)

Основное преимущество РРТР заключается в его многопротокольности, т.е. возможности инкапсулирования различных протоколов IP, IPX и т.д. РРТР инкапсулирует PPP пакеты в IP пакеты с помощью заголовка GRE.

Заголовок протокола локального уровня(РРР,EH)

Заголовок IP

Заголовок GRE

Исходящий пакет

Протокол РРТР использует протоколы аутентификации MSChap и EAP-TLS. Шифрование пакетов в РРТР реализуется с помощью протокола МРРЕ в котором использован алгоритм RC-4, с длино1 ключа 40 или 128 бит. Инициализация канала PPTP выполняется удаленным пользователем путем установки ТСР соединения(порт: 1723) с сервером RAS, выполняющим функции однонаправленного VPN-шлюза.

Прокол l2tp

К основным свойствам L2TP относятся:

1. Прозрачность для конечных систем(протокол использует схему, в которой туннель образуется между сервером удаленного доступа провайдера LAC и маршрутизатором корпоративной сети LNS).

2. Аутентификация в рамках возможностей, заложенных в протокол РРР (MSChap, Pap-Chap, Radius, Tacacs).

3. Назначение адреса клиенту выполняется сервером LNS, а не провайдером.

L2TP может работать поверх любого транспортного прокола с коммутацией пакетов. L2TP используется пакеты UDP на порте 17.01.

Протокол аутентификации l2f

...

Протоколы аутентификации, шифрования и контроля целостности.

Если протоколы VPN обеспечивают универсальность и прозрачность для сетевых пользователей, то протоколы шифрования и контроля целостности реализуют защиту самих соединений от возможного просмотра и модификации. Основными показателями протоколов шифрования является открытость и криптостойкость. Контроль целостности осуществляется путем выполнения односторонней функции, в качестве которой выступают либо контролируемые данные или ключ.

Используемые алгоритмы шифрования:

• Des

• Triple Des

• CAST

• RC-4

• RSA

В качестве хеш-функции:

• MD5

• SHA.

Протоколы управления ключами

IKE и SKIP

Протокол IKE - разработан на основании трех протоколов и предоставляет два способа аутентификации сторон:

1. Использование предварительно разделенного секретного ключа.

2. Использование цифровых сертификатов X509.

Разделенный секрет используют для получения цифровой подписи, на основе которой доказывается аутентичность противоположной стороны. Протокол IKE использует 500 транспортный порт UDP протокола.

В протоколе SKIP заложена поддержка конфигураций в которых используются механизмы повышенной надежности, балансировки нагрузки, а также предусмотрена защита от атак типа "отказ в обслуживании". Ключи - по схеме DX.

Протокол предусматривает взаимодействие с протоколами АН и DSP.

Инфраструктура открытых ключей

Преимущества технологий открытых ключей:

1. Обеспечение целостности данных (хэш-функция)

2. Гарантия невозможности подмены отправителя сообщения

3. Универсальность применения

Основными компонентами PKI является:

1. Доверенные центры

2.Архив сертификатов

3.Система аннулирования сертификатов.

4.Система создания резервных копий и восстановления ключей.

5.Система автоматической корректировки пар ключей и сертификатов.

Использование технологии PKI при организации VPN-соединения дает следующие преимущества:

1. Используются надежные механизмы взаимной аутентификации сторон.

2. Повышается скорость и безопасность подключения новых пользователей и узлов, поскольку достаточно указать уникальный идентификатор пользователя.

3. VPN легко интегрируется в существующую инфраструктуру PKI.

Прохождение VPN трафика через межсетевой экран

В случае размещения VPN-шлюза за межсетевым экраном необходимо обеспечить прохождение VNP трафика через межсетевой экран. Для решения этой задачи межсетевой экран должен:

1. Поддерживать работу с транспортными протоколами отличными от TCP и UDP

2. Знать соответствующие номера протоколов инкапсулируемых в IP:

Протокол	Инкапсулирован в протокол	Номер протокола
AH	IP	51
ESP	IP	50
IKE	UDP	500
SKIP	IP	57
L2F, L2TP	UDP	1701
GRE	IP	47
PPTP(TCP)	TCP	1723

SPLIT DNS

Технология SPLIT DNS предназначена для разделения системы DNS на внешнюю и внутреннюю. Разделение выполняется так, что клиенты внутренней сети могут обращаться как к внутренним так и ко внешним объектам DNS. При этом внешние запросы на разрешение имен и IP-адресов будут обрабатываться на основании установленных правил. Некоторые реализации SPLIT DNS предоставляют возможность автоматической замены локальных доменных имен в SPLIT DNS IP-адресов в заголовках прикладных протоколов.

Балансировка нагрузки и управление полосой пропускания.

Одним из недостатков стэка протоколов TCP/IP заключается в отсутствии предусмотренных механизмов управления полосой пропускания сетевых соединений. Кроме этого протокол TCP во время соединения пытается максимально увеличить скорость передачи. Возникает такие проблемы:

1. Пользователи сети находятся в неравном положении.

2. Скорость доступа к критическим сетевым приложениям не может быть гарантирована.

3. Осложняется работа сетевым приложений чувствительным к задержкам.

В большинстве межсетевых экранов для решения оптимизации нагрузки на прикладные серверы используется механизм "карусель для преодоления нагрузки". С помощью данного механизма можно оптимизировать нагрузку за счет циклического перенаправления соединений на очередной сервер из пула зеркальных.