Туннелирование и криптография – базовые принципы организации виртуальных частных сетей
Как следует из предыдущего материала, скоростной удаленный доступ эффективно делать на широкодоступных каналах глобальной сетиInternet(рис.4 и рис.6, лекц.14). Существенным препятствием для этого является плохая безопасностьпередачи данных: в публичной открытой сети корпоративный трафик где угодно может быть перехвачен, прочитан, изменен и т.п.
Локальные сети, использующие для передачи данных публичные сети с коммутацией пакетов, называют виртуальными сетями.
Для решения проблемы безопасности при передаче трафика через любые открытые сети разработана специальная технология виртуальных частных сетей(VirtualPrivateNetworks,VPN). Словочастныеподчеркивает тот факт, что эти сети имеют собственные встроенные средства обеспечения безопасности и воспользовтьсяVPNмогут только уполномоченные лица.
Основу VPNобразуют прямые 2-точечные защищенные сетевые виртуальные соединения, которыми связываются взаимодействующие объекты, как бы далеко друг от друга при этом они ни находились.VPN-соединение физически проходит по открытым сетям с любой телекоммуникационной инфраструктурой. Нормальный доступ к соединению возможен только со стороны его концов. Для надежной защиты трафикаVPN-соединения применяются методы криптографии [4 – 8].
Защищенные виртуальные соединения создаются с помощью механизмов инкапсуляции и туннелирования протокольных единиц данных.
Инкапсуляция – это, как известно, помещение протокольной единицы данных (сегмента, пакета, кадра) протокола некоторого уровня в поле данных протокольной единицы смежного более низкого уровня (эталонная модельOSIвзаимодействия открытых систем).
Туннелирование – это помещение протокольной единицы данных протокола некоторого уровня в поле данных протокольной единицы более высокого или такого же уровня. На рис.1 показано туннелирование на уровне 22 кадров протокола РРР (вместе с дополнительным заголовкомGRE) вIP-пакеты уровня 3 (дублирование цифр здесь служит только для различения уровней).
Уровень 4. TCP Данные Сегмент ТСР
Уровень 33. IP Пакет IP
PPPЗакрытые данныеКадр РРР
Уровень
22.
GRE Пакет GRE
Уровень 3.IPПакет IP
MAC
FCS
Уровень 2.Кадры РРР, SLIP, Ethernet, Token Ring и др.
Уровень 1.Передача кадров по физической линии
Рис. 1. Инкапсуляция и туннелирование протокольных единиц данных
Операцию туннелирования технически выполняют специальные протоколы – РРТР, L2TP,IPSecи др. В настоящей работе применяется распространенный протокол туннелированияРРТР (Point-to-PointTunnelingProtocol), использующий большие возможности протокола РРР. Работа протокола РРТР поддерживается протоколами РРР,GREи ТСР.
Из рис.1 следует, что подготовленный отправителем на уровне 33 IP-пакет инкапсулируется в кадр РРР, который туннелируется на уровне 3 снова в некоторыйIP-пакет. Последний маршрутизируется в удаленную систему по составнойIP-сети обычным образом. Здесь из пакета на уровне 3 извлекается РРР-кадр, а из кадра –IP-пакет отправителя. Заголовок этого пакета содержитIP-адрес конечного получателя пакета, которому пакет и будет, далее, доставлен также обычным образом.
В результате на участке IP-сети между отправителем и удаленной системой данные переносятся с помощью РРР-кадров, т.е. этот участок сети для партнеров по связи представляется как прямое виртуальное 2-точечное соединение –VPN-соединениеилиVPN-туннель. Концами туннеля являются уровни 22 взаимодействующих систем. Туннель обычно изображается условно в виде трубы, внутри которой проходитVPN-соединение (рис.2). Труба символизирует обособленность соединения и его защищенность. Сторона-инициатор туннеля называетсяVPN-клиентом, а удаленная система, поддерживающая этот вызов, –VPN-сервером. Программное обеспечение компьютеровVPN-клиента иVPN-сервера должно располагать соответствующими протоколами туннелирования.VPN-сервер обычно совмещается с маршрутизатором, с помощью которого принятые по туннелюIP-пакеты направляются в корпоративную сеть и обратно.
На рис.2 показаны стеки протоколов при туннелировании для доступа удаленного клиента к корпоративной сети по VPN-соединению через ТСОП иInternet.
Порт
Взаимодействие “удаленный клиент - сеть” ●1723
TCP
TCP
TCP
Управление
туннелем PPTP
TCP
IP
IP
IP
IP
PPP
Туннель
PPTP
PPP
GRE GRE
IP
IP
IP IP
PPP
PPP
Ethernet Ethernet Ethernet Ethernet
–физические
соединения
–виртуальные
соединения
Рис. 2. Стеки протоколов при туннелировании по РРТР
Вернемся к рис.1. В заголовке исходного IP-пакета (уровень 33) содержатсяIP-адрес отправителя (например клиентаVPN) и получателя пакета (например компьютера корпоративной сети). В процессе туннелирования в заголовок новогоIP-пакета (уровень 3) помещаетсяIP-адрес отправителя, аIP-адресом получателя станет статический адрес сервераVPN(А1 на рис.2). Пакет с этими адресами передается в сети по туннелю. В конечной точке туннеля серверVPNизвлечет исходныйIP-пакет (уровень 33), прочтет адрес конечного получателя и направит пакет в корпоративную сеть обычным образом. Итак, туннелирование можно представить как работу протоколов трех типов:
● протокола-пассажира – протокол IPна уровне 33;
● протокола туннелирования – протокол РРТР на уровне 22;
● несущего протокола – протокол IPна уровне 3.
Принципиальная важность туннелирования заключается в том, что создавая виртуальное соединение, можно сделать такое соединение защищенным. В рамках протокола туннелирования РРТР безопасность соединения естественным образом обеспечивает протокол РРР, точнее шифрование МРРЕ. При инкапсуляции исходногоIP-пакета (уровень 33) в поле данных РРР-кадра можно потребовать шифрования поля данных РРР. При этом (рис.1) шифруется не только весь вложенныйIP-пакет, но еще и 2 байта заголовка кадра РРР (полеПротокол). На рисунке зашифрованная информация затемнена. В результате пользовательские данные поVPN-туннелю будут передаваться в безопасном режиме.