- •Программные методы защиты, применяемые в сети Internet
- •Skip-технология и криптопротоколы ssl, s-http как основное средство защиты соединения и передаваемых данных в сети Internet
- •Сетевой монитор безопасности ip Alert-1
- •Построение защищенных виртуальных сетей Введение в защищенные виртуальные сети Общие сведения
- •Способы создания защищенных виртуальных каналов
- •Обзор протоколов
- •Канальный уровень модели osi
- •Сетевой уровень модели osi
- •Сеансовый уровень модели osi
- •Обзор средств построения защищенных виртуальных сетей Общие сведения
- •Построение защищенных виртуальных сетей на базе маршрутизаторов
- •Создание защищенных туннелей с помощью межсетевых экранов
- •Построение защищенных виртуальных сетей на основе специализированного программного обеспечения
- •Туннелирование на основе специализированных аппаратных средств
Построение защищенных виртуальных сетей на базе маршрутизаторов
В связи с тем, что маршрутизатор пропускает через себя все пакеты, передаваемые из локальной сети, он может использоваться также для зашифровывания этих пакетов. Кроме того, маршрутизатор может выполнять и функцию расшифровывания криптозащищенного входящего трафика. Поддержка функций построения защищенных виртуальных сетей в настоящее время включается во многие маршрутизирующие и коммутирующие устройства. Лидерами в этой области являются компании CiscoSystemsи 3Com. КомпанияCiscoSystemsвключила в операционную системуIOS11.3 (InternetworkOperatingSystem11.3), разработанную для своих маршрутизаторов, поддержку протоколовL2TPиIP-Sec. ПротоколL2Fстал компонентомIOSеще раньше и поддерживается во всех выпускаемыхCiscoустройствах межсетевого взаимодействия и удаленного доступа. РазработаннаяCiscoSystemsтехнология построения VPN отличается высокой производительностью и гибкостью. Обеспечивается туннелирование с шифрованием для любогоIP-потока, передаваемого в "чистом" или инкапсулированном виде. Защищенный туннель строится на основании заданных адресов источника и назначения, номеров портовTCP/UDPи установленных параметров качества сервисаIP(IPQualityofService). Если в локальной сети уже имеется маршрутизатор с операционной системойIOS, не поддерживающей протоколыL2TPиIP-Sec, можно установить на нем дополнительное программное обеспечение шифрования данных. При необходимости повысить производительность целесообразно воспользоваться производимойCiscoSystemsплатой расширенияESA(EncryptionServiceAdapter). На ней установлен специализированный сопроцессор для шифрования.
Подобно прочим устройствам шифрования данных, плата ESAне только криптографически защищает информацию, но и предотвращает проникновение злоумышленника в систему, а также реагирует на все подозрительные ситуации. Если просто вытащить плату из маршрутизатора (даже отключив напряжение питания), то на лицевой панели загорится индикатор "Tamper" ("Злоумышленник") и для повторного запуска маршрутизатора понадобится вмешательство обслуживающего персонала. Для повторного запуска маршрутизатора необходимо либо знать пароль, устанавливаемый при первом вводе платы в эксплуатацию, либо быть готовым к тому, что вся ее оперативная память будет очищена. Если вскрыть модульESA, то активизируется специальный выключатель и произойдет очистка оперативной памяти. Шифрование данных на аппаратном уровне позволяет повысить производительность и снижает влияние функций поддержки защищенных туннелей на пропускную способность маршрутизатора.
Как и CiscoSystems, компания 3Com при реализации технологии VPN с самого начала ориентировалась на стандарты. Она является одним из крупнейших производителей концентраторов удаленного доступа, поддерживающих протоколы РРТР иL2TP. Поддержка VPN встроена в ее маршрутизаторыNetBuilderII, продуктыSuperStackIINetBuilderи платформыOfficeConnectNetBuilderPlatform. Сети VPN от 3Com совместимы иIP-Secи разработаны для взаимодействия с внешними каталогами, включаяNovellNDSиWindowsNTDirectoryServices. Компания разработала также программное приложениеTranscendWareSecureVPNManager, основанное наWeb-технологии и предназначенное для контроля загруженности VPN, а также сбора статистики и информации о происходящих событиях. Кроме того, 3Com выпускает инструментарий настройки на базеWeb, позволяющий легко создавать криптозащищенные туннели. Еще одним уникальным предложением от 3Com является поддержка коммутации защищенных туннелей. Такая коммутация позволяет туннелю миновать брандмауэр и завершиться в конкретной подсети или даже на конкретной клиентской машине.