1573
.pdfду компьютерами (VoIP), а также платные услуги для связи с абонентами обычной телефонной сети. Возможна организация конференцсвязи (до 25-и абонентов, включая инициатора), передача текстовых сообщений и файлов, а также видеосвязь. Для обеспечения безопасности используются протоколы шифрования транспортного уровня HTTPS/SSL. Для обеспечения минимальной задержки применяются виртуальные каналы пиринговой сети Р2Р, т.е. соединение «точка – точка» с заранее оговоренными условиями обеспечения качества QoS.
Пиринговые системы , сокращенно именуемые Р2Р ( peer-to-peer
– от равного к равному), соединяют динамически все узлы IP-сети для использования их в маршрутизации и обработке трафика и выполнении ресурсоемких задач, решение которых в противном случае возлагалось бы на центральные компьютеры. Децентрализованные пиринговые сети имеют несколько преимуществ по сравнению с сетями, построенными по принципу "клиент-сервер". Эти сети способны неограниченно расширяться, не увеличивая при этом время поиска и не вызывая необходимости в дорогостоящих централизованных ресурсах. Вместо этого они используют производительность и сетевые мощности конечных пользователей, поскольку эти ресурсы возрастают прямо пропорционально росту количества клиентов в сети. Каждый новый клиент, именуемый как Скайп - клиент, используется в сети P2P в качестве дополнительного узла связи, что увеличивает потенциальную производительность и пропускную способность сети. Один из вариантов топологии сети Skype [14] представлен на рис. 6.6.
Сеть состоит из узлов Скайп-клиентов и Скайп суперузлов. В
качестве узла Skype-сети может использоваться любой узел в сети Интернет, у которого имеется отдельный выделенный IP-адрес, приспособленный для маршрутизации в сети с достаточно высокой пропускной способностью. Связь между узлами, оснащенными трансляторами сетевых адресов, может обеспечиваться благодаря маршрутизации звонков через клиентов с IP-адресами и клиентов, не использующих брандмауэры. Связи Скайп-клиентов через суперузлы на рис. 6.6 отмечены сплошными линиями, прямое соединение– пунктиром.
В зависимости от условий работы системы Skype узел Скайпклиента может автоматически переходить в режим работы Скайп супер-узла. Так происходит распределение нагрузки между узлами, обеспечивается повышение качества связи и защита Skype Client от блокировки сетевыми экранами и многочисленными брандмауэрами.
141
|
|
|
|
|
|
|
|
|
|
|
|
|
Скайп- |
|
|
|
|
|
|
|
|
|
||
|
Скайп- |
|
Скайп- |
|
|
|
|
|
|
|
Логин- |
|||||||||||||
|
|
|
Скайп- |
|
|
|
||||||||||||||||||
|
|
|
|
|
клиент |
|
|
|||||||||||||||||
|
|
клиент |
|
|
|
|
|
|||||||||||||||||
|
клиент |
|
|
клиент |
|
|
|
|
|
|
|
сервер |
||||||||||||
|
|
|
|
|
|
|
Супер- |
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
Супер- |
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
Скайп- |
|
|
|||||||||||
|
|
|
|
|
|
узел |
|
узел |
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
клиент |
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Скайп- |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
клиент |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Скайп- |
|||
|
|
|
|
|
|
|
|
|
Супер- |
|
|
|
|
|
|
Супер- |
клиент |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
узел |
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
узел |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
Скайп- |
|
|
Скайп- |
|
|
Скайп- |
|
|
Скайп- |
|
|
|
|
Скайп- |
|
|||||||
|
|
клиент |
|
|
клиент |
|
|
клиент |
|
|
клиент |
|
|
|
|
клиент |
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 6.6. Структура Skype-сети
Благодаря наличию суперузлов Skype относят к децентрализованным сетям. Поиск абонентов, отслеживание их текущего состояния (активен/не активен), обмен мгновенными сообщениями и файлами производится с участием суперузлов . Самой важной функцией суперузлов является то, что каждый из них может выступать посредником при передачеголосового трафика междуСкайп-клиентами сети Skype.
Сервер системы Skype (Skype-login сервер) отвечает за последовательность и правильность всех выполняемых команд. Он осуществляет регистрацию подключившегося пользователя к сети, назначает ему уникальный номер, который в дальнейшем и является индикатор сессии. Согласно этому уникальному номеру производится поиск в сети и маршрутизация всех входящих вызовов. Используя все имеющиеся ресурсы, пиринговая система Р2Р, лежащая в основе Skype, направляет зашифрованные звонки по оптимальному маршруту. При этом Skype поддерживает множественные соединения в активном состоянии и динамически выбирает наиболее приемлемый путь в каждый момент времени. Это обеспечивает заметное сокращение задержек и повышение качества связи в сети в целом.
Широкому распространению Skype способствуют следующие возможности сервиса программной системы:
142
–передача речи, мгновенных сообщений и файлов;
–высокое качество речи;
–связь с традиционной телефонной сетью (через сервисы
SkypeIn и SkypeOut);
–шифрация всех передаваемых данных (алгоритмы AES, RC4);
–поддержка различных платформ;
–множество различных языков в интерфейсе клиента Skype.
Кнедостаткам программной системы Skype можно отнести следующее.
Во-первых, повышение производительности системы производится за счет ресурсов абонентов, поскольку физически суперузлы находятся на компьютерах обычных пользователей сети, т.е. работа Skype в режиме суперузла может стоить владельцу компьютера дороже за счет включения трафика других пользователей. Skype использует ресурсы компьютеров своих пользователей дляпотребностейвсей сети вцелом.
Во-вторых, в основе программы лежат закрытые протоколы. Никто до конца точно не знает, что на самом деле делает Skype, какие данные и куда он может передавать (посредством тех же суперузлов). Исходный код клиента также закрыт, поэтому остается лишь верить, что он не содержит вредоносное ПО (Spyware) или другие подобные средства. Из-за использования закрытого протокола интеграция Skype с другими сетями крайне затруднительна.
6.6. Защищенные виртуальные каналы связи
Технология виртуальных частных сетей VPN (Virtual Private Network) предназначена для обеспечения конфиденциальности коммуникаций в вычислительных сетях, между удаленными пользователями и корпоративной сетью через Интернет с помощью защищенных каналов связи ((secure channel). Концепция таких сетей позволяет организовывать обмен информацией при наилучшем сочетании производительности, оперативности, защищенности и стоимости. Защита информации в процессе ее передачи по открытым каналам ос-
нована на построении защищенных виртуальных каналов связи, называемых криптозащищенными туннелями. Создание защищен-
ного туннеля выполняют компоненты виртуальной сети, функционирующие на узлах, между которыми формируется туннель. Эти компоненты принято называть инициатором и терминатором туннеля [15].
143
Инициатор туннеля инкапсулирует (встраивает) пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Маршрут между инициатором и терминатором туннеля определяет обычная маршрутизируемая сеть IP, которая может быть и сетью, отличной от Интернет.
Терминатор туннеля выполняет процесс, обратный инкапсуляции, – он удаляет новые заголовки и направляет каждый исходный пакет в локальный стек протоколов или адресату в локальной сети. Благодаря инкапсуляции появляется возможность полной криптографической защиты инкапсулируемых пакетов. Конфиденциальность инкапсулируемых пакетов обеспечивается путем их криптографического закрытия, то есть зашифровывания, а целостность и подлинность – путем формирования электронной цифровой подписи (ЭЦП). Криптографическая стойкость обеспечивается применением соответствующих криптографических алгоритмов (3DES, AES, ГОСТ).
Для возможности расшифровывания данных и проверки цифровой подписи при приеме инициатор и терминатор туннеля должны поддерживать функции безопасного обмена ключами и аутентификацию пользователей.
Защищенный канал виртуальных сетей строится с помощью системных средств, реализованных на разных уровнях эталонной модели OSI:
–VPN канального уровня;
–VPN сетевого уровня;
–VPN сеансового уровня.
VPN канального уровня
Средства VPN, используемые на канальном уровне модели OSI, позволяют обеспечить инкапсуляцию различных видов трафика более высоких уровней и построение виртуальных туннелей типа «точ- ка-точка» (от маршрутизатора к маршрутизатору или от персонального компьютера к шлюзу ЛВС). К этой группе относятся VPNпродукты, которые используют протоколы L2F (Layer 2 Forwarding) и
РРТР (Point-to-Point Tunneling Protocol), а также стандарт L2TP (Layer 2 Tunneling Protocol), разработанный совместно фирмами Cisco Systems и Microsoft. Протокол защищенного канала РРТР основан на протоколе РРР и обеспечивает прозрачность средств защиты для приложений и служб прикладного уровня. Протокол РРТР может переносить пакеты как в сетях IP, так и в сетях, работающих на основе про-
токолов IPX, DECnet или NetBEUI.
144
Доступ к защищенному каналу по телефонной сети общего пользования организован с использованием системных средств уда-
ленного доступа RAS (Remote Access Service ) ОС Windows.
Пример организации защищенного канала между сервером про-
вайдера Internet ISP (Internet Service Provider) и пограничным мар-
шрутизатором корпоративной сети представлен на рис. 6.7.
|
|
Internet |
|
|
|
RAS |
RAS |
|
|||
|
|
|
|
||
|
|
|
|
||
ISP |
PPTP-Tunnel |
Intranet |
|
||
|
|
|
|||
|
|
||||
Телефонная
сеть
Клиент
Корпоративная
сеть
PPP
Рис. 6.7. Защищенный канал "провайдер – маршрутизатор" на основе протокола PPTP
VPN сетевого уровня
VPN-продукты сетевого уровня выполняют инкапсуляцию IPпакетов. Одними из известных протоколов на этом уровне являются SKIP, IPSec, предназначенные для аутентификации, туннелирования и шифрования IP-пакетов. С одной стороны, работающие на сетевом уровне протоколы прозрачны для приложений, а с другой – могут работать практически во всех сетях, так как основаны на распространенном протоколе IP.
Протокол IPSec предусматривает стандартные методы идентификации пользователей или компьютеров при инициации туннеля, стандартные способы использования шифрования конечными точками туннеля, а также стандартные методы обмена и управления ключами шифрования между конечными точками. Протокол IPSec может работать совместно с L2TP; в результате эти два протокола обеспечивают более надежную идентификацию, стандартизованное шифрование и целостность данных. Туннель IPSec между двумя локальными сетями может поддерживать множество индивидуальных каналов пе-
145
редачи данных, в результате чего приложения данного типа получают преимущества с точки зрения масштабирования. Говоря об IPSec, необходимо упомянуть протокол IKE, позволяющий защитить передаваемую информацию от постороннего вмешательства. Он решает задачи безопасного управления и обмена криптографическими ключами между удаленными устройствами.
Технология IKE/IPsec является базовой для построения систем безопасности сетевого уровня как для протокола IP версии 4 (IPv4), так и версии 6 (IPv6). Технология IKE/IPsec реализована большинст-
вом крупнейших производителей (Cisco Systems, Check Point, IBM, Microsoft) и прошла апробацию/внедрение в большом количестве системных проектов. Технология IKE/IPsec обеспечивает:
–аутентификацию, шифрование и целостность данных на уровне передаваемых IP пакетов;
–защиту от повторной передачи пакетов или сообщений (replay
attack);
–создание, автоматическое обновление и защищенное распространение криптографических ключей;
–использование стойких криптографических алгоритмов шифрования, хеширования и электронно-цифровой подписи, включая российские ГОСТ 28147-89 (шифрование), ГОСТ Р 34.11-94 (хеширование), ГОСТ Р 34.10-94,ГОСТР34.10-2001 (электроннаяцифроваяподпись).
Технология IKE/IPsec представлена набором открытых международных стандартов и спецификации основных протоколов (RFC 2401 – 2412, 2451): Основные рекомендации, изложенные в IETF:
–RFC 2401, «Security Architecture for Internet Protocol» – опреде-
ляет архитектуру безопасности для протоколов IPv4, IPv6;
–RFC 2402, «IP Authentication Header» (AH) – обеспечивает це-
лостность и аутентификацию передаваемых пакетов;
–RFC 2406, «IP Encapsulating Security Payload» (ESP) – обеспе-
чивает конфиденциальность (шифрование), целостность и аутентификацию передаваемых пакетов;
-–RFC 2408, «Internet Security Association and Key Management Protocol» (ISAKMP) – обеспечивает согласование параметров, создание, изменение, уничтожение контекстов защищенных соединений и управление ключами;
–RFC 2409, «The Internet Key Exchange» (IKE) – обеспечивает развитие и адаптацию ISAKMP для работы с протоколами IPsec.
146
VPN сеансового уровня
Для ретрансляции трафика из защищенной сети в общедоступную сеть Интернет иногда используют посредники каналов ( proxy). Этот метод функционирует над транспортным уровнем и ретранслирует трафик для каждого сокета (соединения) в отдельности. Криптографический протокол SSL (Secure Sockets Layer – уровень защищённых сокетов), разработанный компанией Netscape Communications, обеспечивает установление безопасного соединения между клиентом и сервером proxy. Впоследствии на основании протокола SSL 3.0 был разработан и принят стандарт RFC, получивший имя TLS [16]. Протокол SSL обеспечивает криптографическую защиту между сервисными протоколами, такими как HTTP, NNTP, FTP, и транспортными протоколами TCP/IP. Часто для него используется аббревиатура HTTPS. Для шифрования применяется асимметричный алгоритм с открытым ключом. При шифровании с открытым ключом используются два ключа, причем любой из них можетприменяться для шифрования сообщения. Тем самым, если используется один ключ для шифрования, то соответственнодлярасшифровкинужноиспользоватьдругойключ.
|
|
Таблица 6.3 |
|
|
|
|
|
Диалог |
Направление |
Содержание данных |
|
|
|
|
|
сlient-hello |
C > S |
challenge, session_id, cipher_specs |
|
|
|
|
|
server-hello |
S > C |
connection-id, session_id_hit |
|
client-finish |
C > S |
{connection-id}client_write_key |
|
server-verify |
S > C |
{challenge}server_write_key |
|
request-certificate |
S > C |
{auth_type,challenge'}server_write_key |
|
|
|
|
|
client-certificate |
C > S |
{cert_type,client_cert, re- |
|
sponse_data}client_write_key |
|||
|
|
||
server-finish |
S > C |
{session_id}server_write_key |
В такой ситуации можно получать защищённые сообщения, публикуя открытый ключ, и храня в тайне секретный ключ. Пример обмена сообщениями при использовании идентификатора сессии и аутентификации клиента приведен в табл. 6.3.
По решаемым задачам с соединениями протоколы SSL и TLS относят к операциям сеансового уровня модели OSI. Для стандарти-
147
зации аутентифицированного прохода через межсетевые экраны организация IETF определила протокол под названием SOCKS. Например, в протоколе SOCKS v.5 клиентский компьютер устанавливает аутентифицированное соединение с посредником proxy-сервером. Этот сервер – единственный способ связи через межсетевой экран, он проводит любые операции, запрашиваемые клиентом. Поскольку посреднику известно о трафике на уровне сокета, он может осуществлять тщательный контроль, например, блокировать конкретные приложения пользователей, если они не имеют необходимых полномочий.
Техническая реализация
При технической реализации представленных протоколов VPN возможно построение защищенных соединений на основе:
–сетевой операционной системы;
–межсетевых экранов;
–маршрутизаторов;
–программных решений;
–специализированных аппаратных средств со встроенными шифропроцессорами.
VPN на основе сетевой ОС
Реализацию VPN на основе сетевой ОС можно рассмотреть на примере операционных систем Windows . Для создания VPN компания Microsoft использует протокол РРТР, интегрированный в сетевую операционную систему. Такое решение используют для организаций, применяющих Windows в качестве корпоративной ОС. В сетях VPN, основанных на Windows, используется база данных кли-
ентов, хранящаяся в контроллере PDC (Primary Domain Controller).
При подключении к РРТР-серверу пользователь авторизуется по про-
токолам PAP, CHAP или MS CHAP.
Для шифрования применяется нестандартный фирменный протокол Point-to-Point Encryption с 40-битовым ключом, получаемым при установлении соединения. В качестве достоинства приведенной схемы следует отметить, что стоимость решения на основе сетевой ОС значительно ниже стоимости других решений. Несовершенство такой системы – недостаточная защищенность протокола РРТР.
VPN на основе маршрутизаторов
Данный способ построения VPN предполагает применение маршрутизаторов для создания защищенных каналов. Так как вся информация, исходящая из локальной сети, проходит через маршрутизатор, то вполне естественно возложить на него и задачи шифрования.
148
VPN на основе межсетевых экранов
Межсетевые экраны большинства производителей содержат функции туннелирования и шифрования данных. К программному обеспечению собственно межсетевого экрана добавляется модуль шифрования. К недостаткам этого метода относятся высокая стоимость решения в пересчете на одно рабочее место и зависимость производительности от аппаратного обеспечения, на котором работает межсетевой экран. При использовании межсетевых экранов на базе ПК надо помнить, что подобный вариант подходит только для небольших сетей с ограниченным объемом передаваемой информации.
VPN на основе программного обеспечения
Для построения сетей VPN также применяются программные решения. При реализации подобных схем используется специализированное ПО, работающее на выделенном компьютере и в большинстве случаев выполняющее функции proxy-сервера. Компьютер с таким программным обеспечением может быть расположен за межсетевым экраном.
VPN на основе специализированных аппаратных средств со встроенными шифропроцессорами. Вариант построения VPN на специализированных аппаратных средствах может быть использован в сетях, требующих высокой производительности. Недостаток подобного решения – его высокая стоимость.
Таким образом, для построения VPN существует достаточный арсенал программных и аппаратных средств, делающий возможным эффективную передачу данных по вычислительным сетям. Средства VPN становятся необходимыми и критически важными компонентами коммуникационных технологий и надежным инструментом информационной безопасности, обеспечивающим доступность, целостность и конфиденциальность сетевых технологий.
Вопросы для самоконтроля
1.Почему вычислительные сети можно рассматривать как распределенные системы передачи информации?
2.Какова роль модели OSI при рассмотрении функций вычислительной сети, как распределенной СПИ?
3.Перечислите транспортные функции глобальной сети.
4.Какое сетевое оборудование используется для построения глобальных сетей?
5.Почему протоколы TCP/IP получили широкое распространение при организации передачи данных в вычислительных сетях?
149
6.Какие уровни моделей OSI и TCP/IP совпадают?
7.Подчеркните отличия протоколов TCP и UDP.
8.Какова роль языка HTML в информационной системе WWW?
9.Какие программные средства использует Web-сервер при обработке запросов клиентов?
10. Какое отношение информационно-поисковые системы имеют по отношению к Всемирной паутине?
11. На каких протоколах и стандартах основана E-mail?
12. Какие средства в электронной почте используются для защиты от изменения и конфиденциальности сообщений?
13.На каких стандартах базируется организация голосовой и видеосвязи в вычислительных сетях?
14. На каких протоколах стека TCP/IP основывается технология
VoIP?
15. Назовите основные компоненты IP-телефонии на базе протокола SIP.
16. Определите роль пиринговой сети P2P в структуре программной системы Skype.
17.Какое основное назначение построения VPN-сетей?
18.На каких протоколах основано построение VPN-сетей?
20.На каком сетевом оборудовании строятся VPN-сети?
Библиографический список
1.Иванов В.И. Цифровые и аналоговые системы передачи: учебник для вузов / В.И. Иванов, В.Н, Гордиенко, Г.Н. Попов и др.; под ред. В.И. Иванова. – М.: Горячая линия – Телеком, 2003. – 232 с.
2.Олифер В.Г. Компьютерные сети. Принципы, технологии, протоколы / В.Г. Олифер, Н.А. Олифер. – СПб.: Издательство "Питер", 2001. – 672 с.
3.Литвинская О.С. Основы теории передачи информации: учебное пособие / О.С. Литвинская, Н.И. Чернышев. – М. : КНОРУС, 2010. – 168 с.
4.Беллами Дж. Цифровая телефония: пер. с англ. / под ред. А.Н. Берлина, Ю.Н. Чернышева. – М.: Эко-Трендз, 2004. – 640 с.
5.Брэдли Д. Справочник по телекоммуникационным технологиям: пер. с англ. / Д. Брэдли, С. Тоби. – М.: Издательский дом «Вильямс», 2004. – 640 с.
6.Поваляев Е. Системы спутниковой навигации ГЛОНАСС и GPS. Часть1 [Электронный ресурс] / Е. Поваляев, С. Хуторной //URL: www.chipinfo.ru / literature/chipnews/200110/9.html (дата обращения к ресурсу 14.09.2012).
7.Бройдо В.Л. Вычислительные системы, сети и телекоммуникации: учебник для вузов / В.Л. Бройдо. – 2-е изд. – СПб.: Питер, 2004. – 703 с.: ил.
8.Самойлов А.Н. Лекции по системам и сетям передачи данных (ССПД) Тема №11:"Общая структура, типы основные стандартные устройства глобаль-
150