9. Краткое описание протоколов используемых для создания защищенных виртуальных каналов

Технологии шифрования появились задолго до широкого внедре­ния глобальных сетевых технологий. Однако общепринятые протоколы для создания защищенных виртуальных сетей разработаны недавно и сейчас про­должается работа над их совершенствованием и расширением. Они являются открытыми, т. е. свободными для распространения и реализации.

Для независимости от прикладных протоколов и приложений защищенные виртуальные сети формируются на одном из более низких уровней модели OSI — канальном, сетевом или сеансовом. Канальному (второму) уровню соответствуют такие протоколы реализации VPN, как PPTP, L2F и L2TP, сетевому (третьему) уровню — IPSec, SKIP, а сеансовому (пятому) уров­ню — SSL/TLS и SOCKS. Чем ниже уровень эталонной модели, на котором реализуется защита, тем она прозрачнее для приложений и незаметнее для пользователей. Однако при снижении этого уровня уменьшается набор реа­лизуемых услуг безопасности и становится сложнее организация управле­ния. Чем выше защитный уровень в соответствии с моделью OSI, тем шире набор услуг безопасности, надежнее контроль доступа и проще конфигури­рование системы защиты. Однако в этом случае усиливается зависимость от используемых протоколов обмена и приложений.

В виртуальной сети криптозащита может одновременно выполняться на не­скольких уровнях эталонной модели. При этом увеличивается криптостой-кость, но по причине снижения общей скорости криптографических преоб­разований уменьшается пропускная способность виртуальной сети. Поэтому на практике защищенные виртуальные сети формируются на одном уровне модели OSI (канальном, сетевом, транспортном или сеансовом).

Канальный уровень модели osi

Для стандартного формирования криптозащищенных туннелей на каналь­ном уровне модели OSI компанией Microsoft при поддержке компаний Ascend Communications, 3Com/Primary Access, ECI-Telematics и US Robotics был разработан протокол туннелирования PPTP (Point-to-Point Tunnelling Protocol), представляющий собой расширение протокола РРР (Point-to-Point Protocol). В протоколе PPTP не специфицируются конкретные методы ау­тентификации и шифрования. Клиенты удаленного доступа в Windows NT 4.0 и Windows 98 с Dial-Up Networking поставляются с версией шифрования DES компании RSA Data Security, получившей название "шифрование двух­точечной связи Microsoft" (Microsoft Point-to-Point Encryption - MPPE).

Канальному уровню модели OSI соответствует также протокол туннелиро­вания L2F (Layer-2 Forwarding), разработанный компанией Cisco Systems при поддержке компаний Shiva и Nothern Telecom. В данном протоколе также не специфицируются конкретные методы аутентификации и шиф­рования. В отличие от протокола PPTP протокол L2F позволяет использо­вать для удаленного доступа к провайдеру Internet не только протокол РРР, но и другие протоколы, например, SLIP. При формировании защи­щенных каналов по глобальной сети провайдерам Internet не нужно осу­ществлять конфигурацию адресов и выполнять аутентификацию. Кроме того, для переноса данных через защищенный туннель могут использо­ваться различные протоколы сетевого уровня, а не только IP, как в прото­коле PPTP. Протокол L2F стал компонентом операционной системы IOS (Internet Operating System) компании Cisco и поддерживается во всех выпускаемых ею устройствах межсетевого взаимодействия и удаленного доступа.

Протоколы PPTP и L2F были представлены в организацию Internet Engineering Task Force (IETF) и в 1996 году соответствующие комитеты ре­шили их объединить. Получившийся в результате протокол, включивший все лучшее из PPTP и L2F, был назван протоколом туннелирования второго уровня (Layer-2 Tunnelling Protocol — L2TP). Его поддерживают компании Cisco, Microsoft, 3Com, Ascend и многие другие производители. Как и пред­шествующие протоколы канального уровня, спецификация L2TP не описывает методы аутентификации и шифрования. Протокол L2TP является расширением РРР на канальном уровне и может поддерживать любые вы­сокоуровневые протоколы.

Протоколы формирования защищенного туннеля на канальном уровне не­зависимы от протоколов сетевого уровня модели OSI, по которым функ­ционируют локальные сети, входящие в состав виртуальных сетей. Они по­зволяет создавать защищенные каналы для обмена данными между удаленными компьютерами и локальными сетями, функционирующими по различным протоколам сетевого уровня — IP, IPX или NetBEUI. Пакеты этих протоколов криптографически защищаются и инкапсулируются в IP-пакеты сети Internet, которые и переносятся к месту назначения, образуя защищенные виртуальные каналы. Многопротокольность — основное пре­имущество инкапсулирующих протоколов канального уровня.

Вместе с тем формирование криптозащищенных туннелей между объеди­няемыми локальными сетями на основе протоколов канального уровня приводит к сложности конфигурирования и поддержки виртуальных кана­лов связи. Туннели на основе РРР требуют, чтобы конечные точки поддер­живали информацию о состоянии каждого канала (например, такую, как тайм-ауты), и, следовательно, не обладают хорошей масштабируемостью при необходимости иметь несколько туннелей с общими конечными точка­ми. Кроме того, протоколы формирования защищенных туннелей на ка­нальном уровне не специфицируют конкретные методы шифрования, ау­тентификации, проверки целостности каждого передаваемого пакета, а также средств управления ключами.

Исходя из вышесказанного, можно сделать вывод, что протоколы создания защищенных виртуальных каналов на канальном уровне лучше всего подхо­дят для защиты информационного взаимодействия при удаленном доступе к локальной сети. Учитывая, что в состав операционных систем Windows98/NT включена реализация протокола PPTP, этот протокол для организа­ции защищенного удаленного доступа получил наиболее широкое распро­странение. В ближайшее время ожидается переориентация средств удален­ного доступа на более совершенный протокол L2TP.