Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Скачиваний:
147
Добавлен:
16.04.2013
Размер:
335.87 Кб
Скачать

11.2.3. Классификация vpn по способу технической реализации

По способу технической реализации различают следующие группы VPN:

  • VPN на основе сетевой операционной системы;

  • VPN на основе межсетевых экранов;

  • VPN на основе маршрутизаторов;

  • VPN на основе программных решений;

  • VPN на основе специализированных аппаратных средств со встроенными шифропроцессорами.

Vpn на основе сетевой ос.

Реализацию VPN на основе сетевой ОС можно рассмотреть на примере операционной системы Windows NT. Для создания VPN компания Microsoft предлагает протокол PPTP, интегрированный в сетевую операционную систему Windows NT. Такое решение выглядит привлекательно для организаций, использующих Windows в качестве корпоративной ОС. В сетях VPN, основанных на Windows NT, используется база данных клиентов, хранящаяся в контроллере PDC ( Primary Domain Controller ). При подключении к PPTP-серверу пользователь авторизуется по протоколам PAP, CHAP или MS-CHAP. Для шифрования применяется нестандартный фирменный протокол Point-to-Point Encryption c 40-битным ключом, получаемым при установлении соединения.

В качестве достоинства следует отметить, что стоимость решения на основе сетевой ОС значительно ниже стоимости других решений.

Недостаток данной системы - недостаточная защищенность протокола PPTP.

Vpn на основе маршрутизаторов

Данный способ построения VPN предполагает применение маршрутизаторов для создания защищенных каналов. Поскольку вся информация, исходящая из локальной сети, проходит через маршрутизатор, то вполне естественно возложить на него и задачи шифрования.

Пример оборудования для VPN на маршрутизаторах — устройства компании Cisco Systems. Начиная с версии программного обеспечения IOS 11.3(3)T маршрутизаторы Cisco обслуживают протоколы L2TP и IPSec. Помимо простого шифрования информации Cisco реализует и другие функции VPN, такие, как идентификация при установлении туннельного соединения и обмен ключами. Для повышения производительности маршрутизатора может быть использован дополнительный модуль шифрования ESA (Encryption Service Adapter).

Vpn на основе межсетевых экранов.

Межсетевые экраны большинства производителей содержат функции туннелирования и шифрования данных. В основе такого решения лежит простое соображение - поскольку информация проходит через межсетевой экран, то почему бы ее заодно не зашифровать. К программному обеспечению собственно межсетевого экрана добавляется модуль шифрования.

Недостатками этого метода являются высокая стоимость решения в пересчете на одно рабочее место и зависимость производительности от аппаратного обеспечения, на котором работает межсетевой экран. При использовании межсетевых экранов на базе ПК надо помнить, что подобное решение подходит только для небольших сетей с небольшим объемом передаваемой информации.

В качестве примера решения на основе межсетевых экранов можно назвать продукт FireWall-1 компании Check Point Software Technologies.

Vpn на основе программного обеспечения

Для построения сетей VPN применяются также программные решения. При реализации такого решения используется специализированное ПО, работающее на выделенном компьютере и в большинстве случаев выполняющее функции сервера-посредника (proxy). Компьютер с таким программным обеспечением может быть расположен за межсетевым экраном.

В качестве одного из примеров программных решений можно указать пакет AltaVista Tunnel 97 компании Digital. При использовании этого ПО клиент подключается к серверу Tunnel 97, регистрируется на нем и обменивается ключами. Шифрование производится на базе 56- или 128-битовых ключей шифра RC 4. Зашифрованные пакеты инкапсулируются в другие IP-пакеты, которые и отправляются на сервер. При работе сервер Tunnel 97 проверяет целостность данных по алгоритму MD5. Кроме того, каждые 30 мин система генерирует новые ключи, что значительно повышает защищенность соединения.

Достоинства пакета AltaVista Tunnel 97 — простота установки и удобство управления. Недостатками этой системы можно считать нестандартную архитектуру (собственный алгоритм обмена ключами) и низкую производительность.

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Оставленные комментарии видны всем.

Соседние файлы в папке дз_мп_45_2001