3. Суть та призначення маршруту за замовчуванням. Маршрути за замовчуванням

У таблицях маршрутизації не може бути маршрутів для всіх можливих вузлів мережі Інтернет. Зростання розмірів таблиць маршрутизації потребує більше ОЗП та обчислювальної потужності. Спеціальний тип статичного маршруту, названий маршрутом за замовчуванням, вказує який шлюз використовувати, якщо в таблиці маршрутизації немає шляху до адреси призначення. Звичайно маршрути за замовчуванням вказують наступний маршрутизатор на шляху до ІSP. У складних корпоративних середовищах маршрути за замовчуванням виводять Інтернет-трафік з мережі.

Команда для створення маршруту за замовчуванням схожа з командою для створення звичайного чи плаваючого статичного маршруту. Мережева адреса і маска позначаються як 0.0.0.0, в результаті отримуємо маршрут чотирьох нулів. У команді використовується або адреса наступного переходу, або параметри вихідного інтерфейсу.

Нулі вказують маршрутизатору, що для використання цього маршруту біти збігатися не повинні. Якщо не існує більш оптимального маршруту, маршрутизатор буде використовувати статичний маршрут за замовчуванням.

Кінцевий маршрут за замовчуванням, розташований на пограничному маршрутизаторі, відправляє трафік до ІSP. Цей маршрут позначає останній вузол в корпоративній мережі, як шлюз “останньої надії” для пакетів, що не вдається доставити. Ці дані відображаються в таблицях маршрутизації всіх маршрутизаторів.

Якщо в корпоративній мережі використовується протокол динамічної маршрутизації, пограничний маршрутизатор може відправляти маршрут за замовчуванням іншим маршрутизаторам у формі відновлення динамічних маршрутів.

4. Використання хешування у vpn мережах. Пн 16.2.2 ст. 109.

Хешування

Хешування сприяє цілісності даних і аутентифікації, гарантуючи, що сторонні особи не підробили передані повідомлення. Хеш, або як його ще назвають дайджест повідомлення, це число, згенероване з рядка тексту. Хеш менший, ніж сам текст. Він створений за допомогою формули таким чином, що вкрай малоймовірно, що інший текст буде виробляти те ж хеш значення.

Як показала практика, під час передачі VPN даних через Інтернет існує потенційна загроза перехоплення та зміни даних. Відправник створює хеш повідомлення і відправляє його разом з самим повідомленням. Отримувач розшифровує повідомлення та хеш, виробляє інший хеш з отриманого повідомлення і порівнює два хеші. Якщо вони збігаються, отримувач може бути впевненим, що цілісність повідомлення не порушена.

VPN використовують коди перевірки автентичності повідомлення для перевірки цілісності та автентичності повідомлення, не використовуючи ніяких додаткових механізмів. Ключем хешованного коду перевірки автентичності повідомлення (hashed message authentication code, HMAC) є алгоритм цілісності даних, що гарантує цілісність повідомлення.

HMAC має два параметри: вхідне повідомлення і секретний ключ, відомий тільки відправнику повідомлення і прогнозованим отримувачам. Відправник повідомлення використовує функції HMAC для отримання значення (код аутентифікації повідомлення), утвореного шляхом конденсації секретного ключа та введеного повідомлення. Код аутентифікації повідомлення відправляється разом з повідомленням. Отримувач обчислює код перевірки автентичності повідомлення на отримані повідомлення, використовуючи той же ключ і HMAC функції, які використав відправник, і порівнює результат обчислення з отриманим кодом перевірки автентичності повідомлення. Якщо два значення збігаються, повідомлення було правильно прийняте і отримувач впевнений, що відправник є автентичним. Криптографічна міцність HMAC залежить від криптографічної міцності основної хеш-функції, розміру та якості ключа, і розміру отриманого вихідного хешу у бітах.

Існує два найбільш розповсюджені алгоритми HMAC:

HMAC-Message Dіgest 5 (MD5) – в даному алгоритмі використовується 128-бітний спільний секретний ключ. Повідомлення змінної довжини і 128-розрядний спільний секретний ключ поєднуються і проходять через хеш-алгоритм HMAC-MD5. В результаті створюється 128-розрядний хеш, що приєднується до вихідного повідомлення і відправляється на віддалений вузол.

HMAC-Secure Hash Algorіthm 1 (HMAC-SHA-1) – в даному алгоритмі використовується 160-бітний секретний ключ. Повідомлення змінної довжини і 160-розрядний спільний секретний ключ поєднуються і проходять через хеш-алгоритм HMAC-SHA-1. В результаті створюється 160-розрядний хеш, що приєднується до вихідного повідомлення і відправляється на віддалений вузол.

VPN аутентифікація

При передачі інформації через мережу VPN, пристрій на іншому кінці VPN тунелю повинен пройти перевірку справжності (аутентифікацію), перш ніж канал зв'язку вважатиметься безпечним. Є два методи аутентифікації:

PSK (Pre-shared key - Спільний ключ) – секретний ключ, який спільно використовується двома сторонами і який потрібно передати по захищеному каналу перед його використанням. PSK використовує криптографічні алгоритми з симетричним ключем. PSK вводиться в кожен вузол вручну і використовується для перевірки автентичності.

RSA signature (RSA підпис) – для аутентифікації використовує обмін цифровими сертифікатами. Локальний пристрій хешує та шифрує його приватним ключем. Зашифрований хеш (цифровий підпис) додається до повідомлення і передається на віддалений вузол. На віддаленому вузлі, зашифрований хеш розшифровується за допомогою відкритого ключа отримувача. Якщо розшифрований хеш та перераховуваний хеш співпадають, підпис є справжнім.