Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Скачиваний:
146
Добавлен:
16.04.2013
Размер:
335.87 Кб
Скачать

11.1.2. Сервисы безопасности сети vpn

Важное значение при построении защищенной виртуальной сети VPN имеет задача обеспечения информационной безопасности. Согласно общепринятому определению, под безопасностью данных понимают их конфиденциальность, целостность и доступность. Применительно к задачам VPN критерии безопасности могут быть определены следующим образом.

 Конфиденциальность - гарантия того, что в процессе передачи данных по защищенным каналам VPN эти данные могут быть известны только легальным отправителю и получателю.

 Целостность - гарантия сохранности передаваемых данных во время прохождения по защищенному каналу VPN. Любые попытки изменения, модифицикации, разрушения или создания новых данных будут обнаружены и станут известны легальным пользователям.

 Доступность - гарантия того, что средства, выполняющие функции VPN, постоянно доступны легальным пользователям. Доступность средств VPN является комплексным показателем, который зависит от ряда факторов: надежности реализации, качества обслуживания и степени защищенности самого средства от внешних атак.

Конфиденциальность обеспечивается с помощью различных методов и алгоритмов симметричного и асимметричного шифрования. Целостность передаваемых данных обычно достигается с помощью различных вариантов технологии электронной подписи, основанных на симметричных и асимметричных методах шифрования и односторонних функциях.

Аутентификация осуществляется на основе многоразовых и одноразовых паролей, цифровых сертификатов, смарт-карт, протоколов строгой аутентификации, и обеспечивает установление VPN-соединения только между легальными пользователями и предотвращает доступ к средствам VPN нежелательных лиц.

Авторизация подразумевает предоставление абонентам, уже доказавшим свою легальность (аутентичность), разных видов обслуживания, в частности, разных способов шифрования их трафика. Авторизация и управление доступом часто реализуются одними и теми же средствами.

Для обеспечения безопасности передаваемых данных в виртуальных частных сетях должны быть решены следующие основные задачи сетевой безопасности:

 взаимная аутентификация абонентов при установлении соединения;

 обеспечение конфиденциальности, целостности и аутентичности передаваемой информации;

 авторизация и управление доступом.

Аутентификация абонентов

Процедура аутентификации (установление подлинности) разрешает вход для легальных пользователей и предотвращает доступ к сети нежелательных лиц. Аутентификацию следует отличать от идентификации. Идентификация заключается в сообщении пользователем системе своего идентификатора, в то время как аутентификация - это процедура доказательства пользователем того, что он именно тот, кем он себя объявляет.

Современные средства идентификации и аутентификации должны удовлетворять двум условиям:

 поддерживать принцип единого входа в сеть;

 быть устойчивыми к сетевым угрозам (пассивному и активному прослушиванию сети).

Суть принципа единого входа в сеть состоит в том, что пользователь осуществляет один логический вход в сеть и после успешного прохождения аутентификации получает некоторый набор разрешений по доступу к сетевым ресурсам на все время работы в сети. Если в корпоративной сети много информационных сервисов, допускающих независимое обращение, то многократная идентификация и аутентификация становится слишком обременительной. Единый вход в сеть - это, в первую очередь, требование удобства для пользователей. К сожалению, единый вход в сеть пока не стал общей нормой.

Второе требование можно реализовать, используя криптографические методы. В настоящее время общепринятыми являются подходы, основанные на службе каталогов с сертификатами в стандарте X.509 или системе Kerberos.

Процедуре аутентификации могут подвергаться не только пользователи, но и различные приложения, устройства и данные. Например, пользователь, обращающийся с запросом к корпоративному серверу и доказывающий ему свою подлинность, должен также сам убедиться, что ведет диалог именно с требуемым сервером. Иначе говоря, клиент и сервер должны пройти процедуру взаимной аутентификации.

Методы, алгоритмы и протоколы аутентификации подробно разбираются в главе 9.

Соседние файлы в папке дз_мп_45_2001