- •Практикум по курсу «Компьютерные системы и сети»
- •Порядок оформления:
- •Справочный материал Концепция построения защищенных виртуальных частных сетей vpn
- •Функции и компоненты сети vpn
- •Туннелирование
- •Классификация виртуальных частных сетей vpn
- •Vpn канального уровня
- •Vpn сетевого уровня
- •Vpn сеансового уровня
- •Классификация vpn по архитектуре технического решения
- •Классификация vpn по способу технической реализации
- •Vpn на основе сетевой ос
- •Vpn на основе маршрутизаторов
- •Vpn на основе межсетевых экранов
- •Vpn на основе программного обеспечения
- •Vpn на основе специализированных аппаратных средств со встроенными шифропроцессорами
Vpn канального уровня
Средства VPN, используемые на канальном уровне модели OSI, позволяют обеспечить инкапсуляцию различных видов трафика третьего уровня (и более высоких уровней) и построение виртуальных туннелей типа «точка-точка» (от маршрутизатора к маршрутизатору или от персонального компьютера к шлюзу ЛВС). К этой группе относятся VPN-продукты, которые используют протоколы L2F (Layer 2 Forwarding) и РРТР (Point-to-Point Tunneling Protocol), а также сравнительно недавно утвержденный стандарт L2TP (Layer 2 Tunneling Protocol), разработанный совместно фирмами Cisco Systems и Microsoft. Протокол защищенного канала РРТР основан на протоколе РРР и обеспечивает прозрачность средств защиты для приложений и служб прикладного уровня. Протокол РРТР может переносить пакеты как в сетях IP, так и в сетях, работающих на основе протоколов IPX, DECnet или NetBEUI. Протокол L2TP используется при организации удаленного доступа к ЛВС (поскольку базируется в основном на ОС Windows). Между тем решения второго уровня не приобретут, вероятно, такое же значение для взаимодействия ЛВС, по причине недостаточной масштабируемости при необходимости иметь несколько туннелей с общими конечными точками.
Vpn сетевого уровня
VPN-продукты сетевого уровня выполняют инкапсуляцию IP в IP. Одним из широко известных протоколов на этом уровне является SKIP, который постепенно вытесняется новым протоколом IPSec, предназначенным для аутентификации, туннелирования и шифрования IP-пакетов. Работающий на сетевом уровне протокол IPSec представляет компромиссный вариант. С одной стороны, он прозрачен для приложений, а с другой, может работать практически во всех сетях, так как основан на широко распространенном протоколе IP. Протокол IPSec предусматривает стандартные методы идентификации пользователей или компьютеров при инициации туннеля, стандартные способы использования шифрования конечными точками туннеля, а также стандартные методы обмена и управления ключами шифрования между конечными точками. Протокол IPSec может работать совместно с L2TP; в результате эти два протокола обеспечивают более надежную идентификацию, стандартизованное шифрование и целостность данных. Туннель IPSec между двумя локальными сетями может поддерживать множество индивидуальных каналов передачи данных, в результате чего приложения данного типа получают преимущества с точки зрения масштабирования. Говоря об IPSec, необходимо упомянуть протокол (IKE) позволяющий защитить передаваемую информацию от постороннего вмешательства. Он решает задачи безопасного управления и обмена криптографическими ключами между удаленными устройствами.
Vpn сеансового уровня
Некоторые VPN используют другой подход под названием «посредники каналов» (circuit proxy). Этот метод функционирует над транспортным уровнем и ретранслирует трафик из защищенной сети в общедоступную сеть Internet для каждого сокета в отдельности. (Протокол IP не имеет пятого - сеансового - уровня, однако ориентированные на сокеты операции часто называют операциями сеансового уровня.) Шифрование информации, передаваемой между инициатором и терминатором туннеля часто осуществляется с помощью защиты транспортного уровня TLS. Для стандартизации аутентифицированного прохода через межсетевые экраны консорциум IETF определил протокол под названием SOCKS, и в настоящее время протокол SOCKS v.5 применяется для стандартизованной реализации посредников каналов. В протоколе SOCKS v.5 клиентский компьютер устанавливает аутентифицированный сокет (или сеанс) с сервером, выполняющим роль посредника (proxy). Этот посредник - единственный способ связи через межсетевой экран. Посредник, в свою очередь, проводит любые операции, запрашиваемые клиентом. Поскольку посреднику известно о трафике на уровне сокета, он может осуществлять тщательный контроль, например, блокировать конкретные приложения пользователей, если они не имеют необходимых полномочий.