Файловый архив студентов. Файловый архив студентов.
1260 вузов, 4603 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Вятский государственный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
лекции 2 (от него).docx
Скачиваний:
23
Добавлен:
21.11.2018
Размер:
3.38 Mб
Скачать
►Содержание►

Технология построения виртуальных частных сетей

Технология построения виртуальных частных сетей (Virtual Private Networks, ВЧС) представляет собой совокупность методов обеспечения конфиденциальности и контроля целостности данных, передаваемых между пользователями, подключёнными к ГСПД. Технология построения ВЧС реализуется при помощи криптошлюзов и центра управления ВЧС, которые устанавливаются на территории пользователей ГСПД или провайдеров услуг ГСПД (рис. 19.1).

Параметры фильтрования транспортного уровня, заданные в МЭ, позволяют определить номера TCP- и UDP-портов, идентифицирующие протоколы прикладного уровня стека TCP/IP, на основе которых защищаемый маршрутизатор может взаимодействовать с другими объектами IP-сети.

Параметры фильтрования прикладного уровня стека TCP/IP включают в себя конкретные параметры протоколов прикладного уровня, которые могут или не могут быть использованы при взаимодействии с защищаемым маршрутизатором.

Однако необходимо также отметить, что МЭ, предназначенные для защиты маршрутизаторов, не могут обеспечить защиту от ВН, реализуемых при помощи пакетов данных, параметры которых позволяют им быть успешно переданными через МЭ. Например, МЭ не сможет обеспечить защиту маршрутизатора от воздействия, реализуемого нарушителем от имени ЦУС при помощи стандартных команд протокола управления SNMP.

Рисунок 19.1 - Схема размещения криптошлюзов и центра управления ВЧС

Криптошлюзы и методы их построения

Криптошлюзы (VPN-шлюзы, VPN-маршрутизаторы или крипто-маршрутизаторы) выполняют функции обеспечения конфиденциальности данных пользователя путём их шифрования и функции контроля целостности сообщений пользователя на выходе из ГСПД при помощи аутентификаторов сообщений. Центр управления ВЧС выполняет функции мониторинга и управления работой криптошлюзов, а также отвечает за распределение криптографических ключей между ними. В состав ВЧС могут входить отдельные рабочие станции пользователей, ЛВС и другие АС.

В настоящее время существует четыре метода построения криптошлюзов ВЧС:

  • на базе сетевых операционных систем со встроенными функциями организации ВЧС;

  • на базе маршрутизаторов/коммутаторов, ПО которых имеет функции построения ВЧС;

  • на базе МЭ, в ПО которых интегрированы функции по построению ВЧС;

  • на базе специализированного программно-аппаратного обеспечения, предназначенного только для построения ВЧС.

В рамках ВЧС все данные, как правило, передаются по так называемым «туннелям», которые представляют собой виртуальное соединение между двумя криптошлюзами ВЧС. Алгоритм передачи сообщений через туннель ВЧС выглядит следующим образом. Перед отправкой сообщений пользователя через туннель криптошлюз их зашифровывает, вычисляет для них аутентификатор, после чего сообщения инкапсулируются (переупаковываются) в новые сообщения, которые и передаются по туннелю. При этом в поле заголовка «Адрес получателя» сформированного сообщения указывается адрес криптошлюза, а не адрес АС пользователя которому на самом деле предназначается сообщение, что позволяет скрыть истинные адреса субъектов соединения. После передачи сообщений на другом конце туннеля криптошлюз извлекает полученные данные, расшифровывает их, проверяет их целостность, после чего данные передаются адресатам. Такой способ передачи сообщений принято называть «туннелированием». Схема туннелирования сообщений пользователя изображена на рис. 19.2.

Рисунок 19.2 - Схема туннелирования сообщений пользователя

Взаимодействие между криптошлюзами ВЧС реализуется при помощи протоколов специального типа, называемых криптопротоколами. Криптопротоколы могут быть реализованы на различных уровнях модели ВОС (табл. 19.1).

Таблица 19.1. Криптопротоколы различных уровней модели ВОС

Наименование уровня модели ВОС

Наименование криптопротокола

Уровень представления

SSL (Secure Sockets Layer)

TLS (Transport Layer Security)

SOCKS

Сетевой уровень

IPSec (Internet Protocol Security) SKIP

Канальный уровень

PPTP (Point-to-Point Tunneling Protocol)

L2F (Layer 2 Forwarding Protocol)

L2TP (Layer 2 Tunneling Protocol)

В настоящее время наиболее часто для построения ВЧС используется криптопротокол IPSec, спецификация которого является частью базового стандарта шестой версии протокола IP, посредством которого реализуются функции уровня межсетевого взаимодействия стека протоколов TCP/IP.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности