Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4607 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Инженерно-технологическая академия ЮФУ
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
ЛЕКЦИИ СЕТИ И ТЕЛЕК. / Лекция 21.doc
Скачиваний:
85
Добавлен:
01.06.2015
Размер:
509.95 Кб
Скачать
►Содержание►

Построение защищенных виртуальных сетей Введение в защищенные виртуальные сети Общие сведения

Безопасность информационного взаимодействия локальных сетей и отдельных компьютеров через открытые сети, например через сеть Internet, требует качественного решения двух базовых задач (рис. В.1):

  • зашиты подключенных к публичным каналам связи локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды;

  • защиты информации в процессе передачи по открытым каналам связи.

Рис. В.1. Задачи по обеспечению безопасности информационного взаимодействия

Решение первой задачи основано на использовании рассмотренных выше межсетевых экранов (брандмауэров), поддерживающих безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене информацией. Для защиты локальных сетей брандмауэр располагают на стыке между локальной и открытой сетью. Для защиты отдельного удаленного компьютера, подключенного к открытой сети, программное обеспечение межсетевого экрана устанавливается на этом же компьютере, а сам межсетевой экран в данном случае называют персональным.

Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих функций:

  • аутентификации взаимодействующих сторон;

  • криптографическом закрытии передаваемых данных;

  • подтверждении подлинности и целостности доставленной информации;

  • защите от повтора, задержки и удаления сообщений;

  • защите от отрицания фактов отправления и приема сообщений.

Перечисленные функции во многом связаны друг с другом, и их реализация основана на криптографической защите передаваемых данных. Высокая эффективность такой защиты обеспечивается за счет совместного использования симметричных и асимметричных криптографических систем. Объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную сеть, обеспечивающую безопасность циркулирующих данных, называют защищенной виртуальной сетью (VirtualPrivateNetwork—VPN). Виртуальная сеть формируется на основе каналов связи открытой сети. Сам термин "виртуальная" подчеркивает, что каналы связи виртуальной сети моделируются с помощью каналов связи реальной. Открытая сеть может служить основой для одновременного сосуществования множества виртуальных сетей, количество которых определяется пропускной способностью открытых каналов связи.

Открытую внешнюю среду передачи информации можно разделить на среду скоростной передачи данных, в качестве которой может использоваться сеть Internet, а также более медленные общедоступные каналы связи, в качестве которых чаще всего применяются каналы телефонной сети. Наиболее эффективным способом объединения локальных сетей и удаленных компьютеров является объединение на основе глобальной сетиInternet(рис. В.2). В случае отсутствия непосредственного подключения доступ кInternetможет осуществляться и через телефонную сеть. Организация виртуальных сетей на основеInternet обладает рядом преимуществ:

  • гарантирует высокое качество информационного обмена, так как магистральные каналы и маршрутизаторы Internetимеют большую пропускную способность, и характеризуются надежностью передачи информации;

Рис. В.2. Построение виртуальной сети на основе Internet

  • обеспечивает масштабируемую поддержку удаленного доступа к ресурсам локальной сети, позволяя мобильным пользователям связываться по местным телефонным линиям с поставщиками услуг Internetи через них входить в свою корпоративную сеть;

  • для организации удаленного доступа пользователей к локальной сети исключается необходимость в наличии модемных пулов, а трафиком дистанционного доступа можно управлять точно так же, как любым другим трафиком Internet;

  • сокращаются расходы на информационный обмен через открытую внешнюю среду:

• использование Internetдля объединения локальных сетей значительно дешевле аренды каналов связи телефонных и других глобальных сетей, например, сетейframerelay, не говоря уже о стоимости самостоятельного построения коммуникаций;

• при удаленном доступе вместо того, чтобы устанавливать дорогостоящие непосредственные соединения с локальной сетью по междугородной или международной телефонной связи, удаленные пользователи могут подключаться к Internetи, далее, связываться с сетью своей организации через эту глобальную сеть.

Виртуальную сеть, использующую в качестве внешней среды передачи информации глобальную сеть Internet, часто называют еще сетьюExtranet. Эффективность использования виртуальных сетей во многом определяется степенью защищенности информации, циркулирующей по открытым каналам связи. Безопасность информационного обмена необходимо обеспечить как в случае объединения локальных сетей, так и в случае доступа к локальным сетям удаленных пользователей (рис. В.2).

Защита информации в процессе ее передачи по открытым каналам основана на построении защищенных виртуальных каналов связи, называемых крип-тозащищенными туннелями или туннелями VPN. Каждый такой туннель представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографически защищенные пакеты сообщений виртуальной сети.

Для защиты от повтора, удаления и задержек пакетов сообщений, передаваемых по туннелю VPN, используются встроенные возможности стека протоколов TCP/IP. Для защиты от повтора, удаления и задержек на уровне отдельных сообщений в состав каждого сообщения подсистемой защиты прикладного уровня должна добавляться дополнительная информация. В качестве такой дополнительной информации могут использоваться номера, случайные числа, а также отметки времени.

С целью защиты от отказа получения сообщений подсистема защиты прикладного уровня должна предусматривать при приеме каждого сообщения передачу отправителю уведомления о получении сообщения. Такое уведомление должно криптографически подписываться получателем сообщения. Защита от отказа отправления сообщения, т. е. защита от непризнания цифровой подписи может быть обеспечена только правовыми и организационными мерами по приданию цифровой подписи юридической силы. Чтобы предотвратить отказы от открытых ключей, а соответственно и отказы от цифровой подписи, обмен открытыми ключами должен подкрепляться юридической процедурой.

Соседние файлы в папке ЛЕКЦИИ СЕТИ И ТЕЛЕК.
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности