- •Программные методы защиты, применяемые в сети Internet
- •Skip-технология и криптопротоколы ssl, s-http как основное средство защиты соединения и передаваемых данных в сети Internet
- •Сетевой монитор безопасности ip Alert-1
- •Построение защищенных виртуальных сетей Введение в защищенные виртуальные сети Общие сведения
- •Способы создания защищенных виртуальных каналов
- •Обзор протоколов
- •Канальный уровень модели osi
- •Сетевой уровень модели osi
- •Сеансовый уровень модели osi
- •Обзор средств построения защищенных виртуальных сетей Общие сведения
- •Построение защищенных виртуальных сетей на базе маршрутизаторов
- •Создание защищенных туннелей с помощью межсетевых экранов
- •Построение защищенных виртуальных сетей на основе специализированного программного обеспечения
- •Туннелирование на основе специализированных аппаратных средств
Обзор протоколов
Технически реализация защищенных виртуальных сетей стала возможной уже достаточно давно. Инкапсуляция использовалась раньше и применяется сейчас для передачи немаршрутизируемого трафика через маршрутизируемые сети, а также для ограничения многопротокольного трафика одним протоколом. Технологии шифрования также появились задолго до широкого внедрения глобальных сетевых технологий. Однако общепринятые протоколы для создания защищенных виртуальных сетей разработаны недавно и сейчас продолжается работа над их совершенствованием и расширением. Они являются открытыми, т. е. свободными для распространения и реализации. Для независимости от прикладных протоколов и приложений защищенные виртуальные сети формируются на одном из более низких уровней модели OSI — канальном, сетевом или сеансовом. Канальному (второму) уровню соответствуют такие протоколы реализации VPN, как РРТР, L2FиL2TP, сетевому (третьему) уровню —IPSec,SKIP, а сеансовому (пятому) уровню —SSL/TLSиSOCKS. Чем ниже уровень эталонной модели, на котором реализуется защита, тем она прозрачнее для приложений и незаметнее для пользователей. Однако при снижении этого уровня уменьшается набор реализуемых услуг безопасности и становится сложнее организация управления. Чем выше защитный уровень в соответствии с моделью OSI, тем шире набор услуг безопасности, надежнее контроль доступа и проще конфигурирование системы защиты. Тем не менее в этом случае усиливается зависимость от используемых протоколов обмена и приложений. В виртуальной сети криптозащита может одновременно выполняться на нескольких уровнях эталонной модели. При этом увеличивается криптостойкость, но по причине снижения общей скорости криптографических преобразований уменьшается пропускная способность виртуальной сети. Поэтому на практике защищенные виртуальные сети формируются на одном уровне модели OSI (канальном, сетевом, транспортном или сеансовом).
Канальный уровень модели osi
Для стандартного формирования криптозащищенных туннелей на канальном уровне модели OSI компанией Microsoftпри поддержке компанийAscendCommunications, 3Com/PrimaryAccess,ECI-TelematicsиUSRoboticsбыл разработан протокол туннелирования РРТР (Point-to-PointTunnelingProtocol), представляющий собой расширение протокола РРР (Point-to-PointProtocol). В протоколе РРТР не специфицируются конкретные методы аутентификации и шифрования. Клиенты удаленного доступа вWindowsNT4.0 иWindows98 сDial-UpNetworkingпоставляются с версией шифрованияDESкомпанииRSADataSecurity, получившей название "шифрование двухточечной связиMicrosoft" (MicrosoftPoint-to-PointEncryption—MPPE). Канальному уровню модели OSI соответствует также протокол туннелированияL2F(Layer-2Forwarding), разработанный компаниейCiscoSystemsпри поддержке компанийShivaиNorthernTelecom. В данном протоколе также не специфицируются конкретные методы аутентификации и шифрования. В отличие от протокола РРТР протоколL2Fпозволяет использовать для удаленного доступа к провайдеруInternetне только протокол РРР, но и другие протоколы, например,SLIP. При формировании защищенных каналов по глобальной сети провайдерамInternetне нужно осуществлять конфигурацию адресов и выполнять аутентификацию. Кроме того, для переноса данных через защищенный туннель могут использоваться различные протоколы сетевого уровня, а не толькоIP, как в протоколе РРТР. ПротоколL2Fстал компонентом операционной системыIOS(InternetworkOperatingSystem) компанииCiscoи поддерживается во всех выпускаемых ею устройствах межсетевого взаимодействия и удаленного доступа. Протоколы РРТР иL2Fбыли представлены в организациюInternetEngineeringTaskForce(IETF) и в 1996 году соответствующие комитеты решили их объединить. Получившийся в результате протокол, включивший все лучшее из РРТР иL2F, был назван протоколом туннелирования второго уровня (Layer-2TunnelingProtocol—L2TP). Его поддерживают компанииCisco,Microsoft, 3Com,Ascendи многие другие производители. Как и предшествующие протоколы канального уровня, спецификацияL2TPне описывает методы аутентификации и шифрования. ПротоколL2TPявляется расширением РРР на канальном уровне и может поддерживать любые высокоуровневые протоколы.
Протоколы формирования защищенного туннеля на канальном уровне независимы от протоколов сетевого уровня модели OSI, по которым функционируют локальные сети, входящие в состав виртуальных сетей. Они позволяют создавать защищенные каналы для обмена данными между удаленными компьютерами и локальными сетями, функционирующими по различным протоколам сетевого уровня — IP,IPXилиNetBEUI. Пакеты этих протоколов криптографически защищаются и инкапсулируются вIP-пакеты сетиInternet, которые и переносятся к месту назначения, образуя защищенные виртуальные каналы. Многопротокольность — основное преимущество инкапсулирующих протоколов канального уровня.
Вместе с тем формирование криптозащищенных туннелей между объединяемыми локальными сетями на основе протоколов канального уровня приводит к сложности конфигурирования и поддержки виртуальных каналов связи. Туннели на основе РРР требуют, чтобы конечные точки поддерживали информацию о состоянии каждого канала (например, такую, как тайм-ауты), и, следовательно, не обладают хорошей масштабируемостью при необходимости иметь несколько туннелей с общими конечными точками. Кроме того, протоколы формирования защищенных туннелей на канальном уровне не специфицируют конкретные методы шифрования, аутентификации, проверки целостности каждого передаваемого пакета, а также средств управления ключами.
Исходя из вышесказанного, можно сделать вывод, что протоколы создания защищенных виртуальных каналов на канальном уровне лучше всего подходят для защиты информационного взаимодействия при удаленном доступе к локальной сети. Учитывая, что в состав операционных систем Windows98/NTвключена реализация протокола РРТР, этот протокол для организации защищенного удаленного доступа получил наиболее широкое распространение. В ближайшее время ожидается переориентация средств удаленного доступа на более совершенный протоколL2TP.