Вы находитесь на странице: 1из 28

Виртуальные частные сети

БСЭВМ - Лекция 14 1
Технологии защищенного канала
Обеспечивают защиту трафика между двумя точками в
открытой транспортной сети, например в Интернете.
Защищенный канал подразумевает выполнение трех
основных функций:
• взаимная аутентификация абонентов при установлении
соединения, которая может быть выполнена, например,
путем обмена паролями;
• защита передаваемых по каналу сообщений от
несанкционированного доступа, например путем
шифрования;
• подтверждение целостности поступающих по каналу
сообщений, например путем передачи одновременно с
сообщением его дайджеста.

БСЭВМ - Лекция 14 2
Способы образования
защищенного канала
В зависимости от месторасположения программного обеспечения
защищенного канала различают две схемы его образования:
• схема с конечными узлами, взаимодействующими через
публичную сеть;
• схема с оборудованием поставщика услуг публичной сети,
расположенным на границе между частной и публичной сетями.

БСЭВМ - Лекция 14 3
Схема с конечными узлами,
взаимодействующими через публичную сеть
Защищенный канал образуется программными средствами,
установленными на двух удаленных компьютерах,
принадлежащих двум разным локальным сетям одного
предприятия и связанных между собой через публичную сеть.
Преимущества подхода:
• полная защищенность канала вдоль всего пути следования;
• возможность использования любых протоколов создания
защищенных каналов,
Недостатки:
• защиту каналов доступа к публичной сети можно считать
избыточной;
• подключение каждого нового компьютера к защищенному
каналу требует установки, конфигурирования и
администрирования программных средств защиты данных.
БСЭВМ - Лекция 14 4
Схема с оборудованием, расположенным на
границе между частной и публичной сетями
Клиенты и серверы не участвуют в создании защищенного канала — он
прокладывается только внутри публичной сети. Так, канал может быть
проложен между сервером удаленного доступа поставщика услуг публичной
сети и пограничным маршрутизатором корпоративной сети.
Преимущества:
• хорошо масштабируемое решение, управляемое централизованно
администраторами как корпоративной сети, так и сети поставщика услуг;
• канал прозрачен для компьютеров корпоративной сети— программное
обеспечение этих конечных узлов остается без изменений.
Недостатки:
• нужен стандартный протокол образования защищенного канала,
требуется установка у всех поставщиков услуг программного обеспечения,
поддерживающего такой протокол, необходима поддержка протокола
производителями пограничного коммуникационного оборудования;
• незащищенными оказываются каналы доступа к публичной сети.
БСЭВМ - Лекция 14 5
Технологии защищенного канала

БСЭВМ - Лекция 14 6
Защищенный канал на верхних уровнях
• Если защита данных осуществляется средствами верхних
уровней (прикладного, представления или сеансового),
то такой способ защиты не зависит от технологий
транспортировки данных (IP или IPX, Ethernet или ATM),
что можно считать несомненным достоинством.
• В то же время приложения при этом становятся
зависимыми от конкретного протокола защищенного
канала, так как в них должны быть встроены явные
вызовы функций этого протокола.
• Защищенный канал, реализованный на самом высоком
(прикладном) уровне, защищает только вполне
определенную сетевую службу, например файловую,
гипертекстовую или почтовую.
• Так, протокол S/MIME защищает исключительно
сообщения электронной почты. При таком подходе для
каждой службы необходимо разрабатывать собственную
защищенную версию протокола.
БСЭВМ - Лекция 14 7
SSL
• Secure Socket Layer (слой защищенных сокетов)
• Протокол разработан компанией Netscape
Communications для защиты данных, передаваемых
между веб-сервером и веб-браузером, но может
быть использован и любыми другими
приложениями.
• Является более универсальным средством, чем
протокол безопасности прикладного уровня. Однако
в приложение по-прежнему приходится вносить
исправления, хотя и не столь существенные, как в
случае протокола прикладного уровня.
Модификация приложения в данном случае
сводится к встраиванию явных обращений к API
соответствующего протокола безопасности.
БСЭВМ - Лекция 14 8
SSL
Создает защищенный канал, используя
следующие технологии безопасности:
• взаимная аутентификация приложений на обоих
концах защищенного канала выполняется путем
обмена сертификатами;
• для контроля целостности передаваемых
данных используются дайджесты;
• секретность обеспечивается шифрованием
средствами симметричных ключей сеанса.

БСЭВМ - Лекция 14 9
OpenVPN
• Свободная реализация технологии виртуальной
частной сети (VPN) с открытым исходным кодом
для создания зашифрованных каналов типа
точка-точка или сервер-клиенты между
компьютерами.
• Использует библиотеку OpenSSL и протоколы
SSL/TLS, наряду с множеством других технологий
для обеспечения надежного VPN-решения.
Одним из его главных преимуществ является то,
что OpenVPN очень гибок в настройках.

БСЭВМ - Лекция 14 10
РРТР
Средства защищенного канала становятся
прозрачными для приложений в тех случаях,
когда безопасность обеспечивается на сетевом и
канальном уровнях. Однако здесь возникает
другая проблема — зависимость сервиса
защищенного канала от протокола нижнего
уровня.

БСЭВМ - Лекция 14 11
PPTP
Протокол, разработанный Microsoft и Cisco для
организации VPN через сети коммутируемого
доступа.
• Использует протокол GRE
• Опирается на различные методы
аутентификации для обеспечения безопасности
• Доступен как стандартный протокол почти во
всех операционных системах и устройствах

БСЭВМ - Лекция 14 12
GRE (Generic Routing
Encapsulation)
Протокол туннелирования сетевых пакетов,
разработанный компанией Cisco Systems.
Основное назначение — инкапсуляция пакетов
сетевого уровня модели OSI в IP пакеты.

БСЭВМ - Лекция 14 13
L2TP
• Сам по себе не обеспечивает шифрование и
конфиденциальность трафика, проходящего
через него. По этой причине, как правило,
используется IPsec для обеспечения
безопасности.
• L2TP/IPsec встроен во все современные
операционные системы и VPN-совместимые
устройства, и так же легко может быть настроен
как и PPTP (обычно используется тот же клиент).

БСЭВМ - Лекция 14 14
IPsec
• Набор протоколов для обеспечения защиты
данных, передаваемых по межсетевому
протоколу IP.
• Позволяет осуществлять подтверждение
подлинности (аутентификацию), проверку
целостности и/или шифрование IP-пакетов,
также включает в себя протоколы для
защищённого обмена ключами в сети Интернет.

БСЭВМ - Лекция 14 15
IPsec
• ESP (Encapsulating Security Payload – безопасная
инкапсуляция полезной нагрузки) занимается
непосредственно шифрованием данных, а также может
обеспечивать аутентификацию источника и проверку
целостности данных.
• AH (Authentication Header – заголовок аутентификации)
отвечает за аутентификацию источника и проверку
целостности данных.
• IKE (Internet Key Exchange protocol – протокол обмена
ключами) используется для согласования работы
участников защищенного соединения. Используя этот
протокол, участники договариваются, какой алгоритм
шифрования будет использоваться, по какому алгоритму
будет производиться (и будет ли вообще) проверка
целостности, как аутентифицировать друг друга.

БСЭВМ - Лекция 14 16
Распределение функций между
протоколами IPSec
• АН отвечает только за обеспечение целостности и
аутентификации данных, ESP может шифровать данные
и, кроме того, выполнять функции протокола АН.
• ESP может поддерживать функции шифрования и
аутентификации/целостности в любых комбинациях, то
есть либо всю группу функций, либо только
аутентификацию/целостность, либо только шифрование.

БСЭВМ - Лекция 14 17
Туннельный и транспортный
режимы
• В транспортном режиме шифруются только
данные IP-пакета, исходный заголовок
сохраняется.
[IP заголовок][IPSec заголовок][Данные]
• В туннельном режиме шифруется весь исходный
IP-пакет: данные, заголовок, маршрутная
информация, а затем он вставляется в поле
данных нового пакета
[Новый IP заголовок][IPSec заголовок][IP
заголовок][Данные]

БСЭВМ - Лекция 14 18
Определение
• Виртуальная частная сеть (Virtual
Private Network, VPN) — это
технология построения
логической сети поверх сети
общего пользования.
• Указанная логическая сеть может
включать в себя как локальные
сети, так и отдельные сетевые
устройства.

БСЭВМ - Лекция 14 19
Определение
• Пользователи такой сети взаимодействуют друг
с другом изолированно от остальных
пользователей. Приватность обеспечивается
путем использования таких механизмов как
туннелирование и криптографическая защита.
• Туннель – канал передачи данных между
сетевыми устройствами, который устанавливают
через существующую сетевую инфраструктуру.

БСЭВМ - Лекция 14 20
Схемы использования VPN
• Защита трафика между клиентом и сервером
• Защита трафика между двумя сетями
• Защита трафика клиента при взаимодействии с
защищённой сетью

БСЭВМ - Лекция 14 21
Клиент-сервер
• Защищенное взаимодействие между двумя
узлами
• Такая схема взаимодействия называется «точка-
точка» и может применяться, например, для
защиты удаленного управления каким-либо
критичным ресурсом

БСЭВМ - Лекция 14 22
Сеть-сеть
• «шлюз-шлюз» или «site-to-site»
• Защищенное взаимодействие возможно между
узлами двух сетей

БСЭВМ - Лекция 14 23
Клиент-сеть
• Защита трафика отдельного клиента при работе
с защищённой сетью

БСЭВМ - Лекция 14 24
Сертифицированные VPN-
решения
• S-Terra (CSP VPN)
• Код безопасности (Континент)
• ИнфоТеКС (ViPNet)
• Амикон (ФПСУ-IP)
• Элвис+ (Застава)
• Криптоком (МагПро КриптоПакет)

БСЭВМ - Лекция 14 25
Рассмотренные вопросы
• Виртуальные частные сети
• Классификация и схемы использования
• Основные VPN технологии
• Сертифицированные VPN решения

БСЭВМ - Лекция 14 26
Рассмотренные вопросы
• Технологии защищенного канала
• Основные VPN технологии
• Способы получения информации об активности
работников

Почитать
• В. Олифер, Н. Олифер – Компьютерные сети. 5-е изд. Глава
29

БСЭВМ - Лекция 14 27
Всем спасибо – все свободны,
если нет вопросов

БСЭВМ - Лекция 14 28