Топалов
.pdfрежного рівня. Наприклад, маршрутизатор із трьома інтерфейсами, кожний з яких підтримує протоколи AppleTalk, TCP/IP і OS1, повинен мати по три адреси мережного рівня для кожного інтерфейсу. Таким чином, у цього маршрутизатора повинно бути дев'ять адрес мережного рівня. Кожному мережному інтерфейсу призначається мережна адреса для кожного підтримуваного ним протоколу.
Існує два способи побудови простору адрес в об'єднаній мережі: ієрархічне й лінійне. Ієрархічний простір адрес (hierarchical address space) організовано у вигляді численних підгруп, кожна з яких послідовно звужує адресуючу область, поки не отримаємо вказівник на один пристрій (на зразок поштових адрес). Лінійний простір адрес (flat address space) організовано у вигляді однієї групи (на зразок номерів соціального страхування).
Ієрархічна адресація має певні переваги перед лінійною. Сортування й вибірка адрес спрощується завдяки операціям порівняння. Наприклад, наявність у поштовій адресі слова "Ірландія" виключає всі інші країни.
1.1.10. Основи керування потоком
Керування потоком становить собою функцію, що запобігає перевантаженню мережі, гарантуючи, що передавальні пристрої не відправляють даних більше, ніж здатні обробити приймаючі пристрої. Наприклад, високошвидкісний комп'ютер може генерувати дані для передачі швидше, ніж мережа має можливість його передати, або швидше, ніж пристрій-одержувач може його прийняти й обробити. Існує три загальновживаних способи уникнути перевантаження мережі: за допомогою буферизації, шляхом відправлення повідомлень, які знижують швидкість передачі даних, і з використанням вікон.
Буферизація застосовується для тимчасового зберігання в пам'яті мережних пристроїв порцій даних доти, поки не звільниться обробний пристрій. За допомогою буферизації можна впоратися з виявленим час від часу надлишком даних. Проте, такі дані можуть зайняти всю пам'ять, і тоді всі наступні дейтаграми,які надійшли на пристрій,будуть відкинуті.
Повідомлення, які знижують швидкість передачі даних, відправляються приймаючими пристроями для запобігання переповнення їхніх буферів. Приймаючий пристрій посилає такі повідомлення, щоб змусити джерело даних знизити поточну швидкість передачі. Спочатку приймаючий пристрій починає відкидати всі прийняті дані через переповнення буферів. Потім приймаючий пристрій починає посилати передавальному пристрою повідомлення з вимогою знизити швидкість передачі даних, по одному на кожний відкинутий пакет. Пристрій-джерело одержує ці повідомлення й поступово знижує швидкість передачі доти, поки такі повідомлення не перестануть надходити. Потім пристрійджерело поступово збільшує швидкість передачі, поки такі повідомлення не з'являться знову.
Використання вікон становить собою схему керування потоком, у якій пристрій-джерело вимагає від пристрою-одержувача підтвердження після передачі певної кількості пакетів. Наприклад, якщо розмір вікна дорівнює 3, то джерело вимагає підтвердження після відправлення трьох пакетів. Спочатку при-
21
стрій-джерело посилає три пакети пристроєві-одержувачеві. Після їхнього одержання пристрій-одержувач направляє підтвердження пристрою-джерелу. Останнє приймає підтвердження й посилає ще три пакети. Якщо одержувач із якої-небудь причини, наприклад, через переповнення буферів, не одержує хоча б один з відправлених пакетів, то він не відправляє підтвердження. У цьому випадку пристрій-джерело повторює передачу пакетів на зниженій швидкості.
1.1.11. Основи контролю помилок
Схеми контролю помилок визначають, чи були передані дані ушкоджені на шляху від джерела до одержувача. Контроль помилок реалізується на декількох рівнях еталонної моделі OSI.
Однією з найбільш часто використовуваних схем контролю помилок є контроль за допомогою циклічного надлишкового коду (Cyclic Redundancy Check - CRC), при якому ушкоджені дані розпізнаються й відкидаються. Функції виправлення помилок (такі як повторна передача даних) переносяться в протоколи вищого рівня. Значення CRC генерується за допомогою обчислень, виконуваних на пристрої-джерелі. Пристрій-одержувач порівнює це значення з результатом власних обчислень і визначає, чи виникли помилки при передачі. Спочатку пристрій-джерело виконує над вмістом переданого пакета заздалегідь задану послідовність обчислень. Потім воно поміщає обчислене значення в пакет і відправляє його одержувачеві. Одержувач виконує над вмістом пакета ті ж обчислення, після чого порівнює отримане значення з тим, що міститься в пакеті. Якщо ці значення рівні, то вважається, що пакет не містить помилок. У противному випадку в пакеті передбачається наявність помилок і він відкидається.
Висновки
Об'єднані мережі є складними системами, розгляд яких у цілому може представляти значні труднощі. Для спрощення розуміння структури об'єднаної мережі доцільно розділити мережу на концептуальні частини. При читанні літератури за об'єднаними мережами й при роботі з ними рекомендується розглядати ці мережі в аспекті моделі OSI і її концептуальних складових.
Розуміння характеру обміну даними між різними рівнями й протоколами дозволяє проектувати й конфігурувати об'єднані мережі, а також проводити їхню діагностику. Недостатнє розуміння блоків, що становлять об'єднану мережу, значно утруднює аналіз їхньої взаємодії.
22
Розділ 2
ТЕХНОЛОГІЇ ВІРТУАЛЬНОЇ ПРИВАТНОЇ МЕРЕЖІ VPN
(VIRTUAL PRIVATE NETWORK)
VPN (англ.Virtual Private Network – віртуальна приватна мережа) – узагальнена назва технологій, які дозволяють забезпечити одне або кілька мережних з'єднань (логічну мережу) поверх іншої мережі (наприклад, Інтернет). Незважаючи на те, що комунікації здійснюються мережами з меншим невідомим рівнем довіри (наприклад, публічними мережами), рівень довіри до побудованої логічної мережі не залежить від рівня довіри до базових мереж, завдяки використанню засобів криптографії (шифрування, автентифікації, інфраструктури відкритих ключів, засобів для захисту від повторів і змін переданих логічною мережею повідомлень).
У загальному випадку VPN – це об'єднання локальних мереж або окремих машин, підключених до мережі загального користування, у єдину віртуальну (накладену) мережу, що забезпечує секретність і цілісність інформації, яка нею передається (прозоро для користувачів).
VPN є мережею підприємства, що розгортається в рамках загальнодоступної інфраструктури, але використовує можливості захисту, управління і політики якості сервісу, вживані до корпоративних мереж. VPN забезпечують альтернативу існуючим приватним мережам, що використовують орендовані канали.
Використання технології VPN необхідне там, де потрібний захист корпоративної мережі від дії вірусів, зловмисників, а також від інших погроз, помилок, що є результатом, в конфігурації або адмініструванні мережі.
VPN складається з двох частин: «внутрішня» (підконтрольна) мережа, яких може бути декілька, і «зовнішня» мережа, якою проходить інкапсульоване з'єднання (звичайно, використовується Internet). Можливо також підключення до віртуальної мережі окремого комп'ютера. Підключення віддаленого користувача до VPN здійснюється за допомогою сервера доступу, який підключений як до внутрішньої, так і до зовнішньої (загальнодоступної) мережі. При підключенні віддаленого користувача (або при встановленні з'єднання з іншою захищеною мережею) сервер доступу вимагає проходження процесу ідентифікації, а потім процесу автентифікації. Після успішного проходження обох процесів, віддалений користувач (віддалена мережа) наділяється повноваженнями для роботи в мережі, тобто відбувається процес авторизації.
Залежно від застосовуваних протоколів і призначення, VPN може забезпечувати з'єднання трьох видів: вузол-вузол, вузол-мережа й мережа-мережа.
Звичайно, VPN розгортають на рівнях не вище мережного, тому що застосування криптографії на цих рівнях дозволяє використовувати в незмінному вигляді транспортні протоколи (такі як TCP, UDP).
Найчастіше для створення віртуальної мережі використовується інкапсуляція протоколу PPP у який-небудь інший протокол – IP (такий спосіб викорис-
товує реалізація PPTP – Point-to-Point Tunneling Protocol) або Ethernet (PPPoE)
(хоча й вони мають відмінності). Технологія VPN останнім часом використовується не тільки для створення власне приватних мереж, але й деякими провайдерами «останньої милі» на пострадянському просторі для надання виходу в Інтернет.
23
При належному рівні реалізації й використанні спеціального програмного забезпечення мережа VPN може забезпечити високий рівень шифрування переданої інформації. При правильному настроюванні всіх компонентів технологія VPN забезпечує анонімність у мережі.
VPN складається із двох частин: «внутрішня» (підконтрольна) мережа, яких може бути декілька, і «зовнішня» мережа, якою проходить інкапсульоване з'єднання (звичайно, використовується Інтернет). Можливо також підключення до віртуальної мережі окремого комп’ютера. Підключення вилученого користувача до VPN здійснються за допомогою сервера доступу, який підключений як до внутрішньої, так і до зовнішньої (загальнодоступної) мережі. При підключенні вилученого користувача (або при установленні з'єднання з іншою захищеною мережею) сервер доступу вимагає проходження процесу ідентифікації, а потім процесу автентифікації. Після успішного проходження обох процесів, вилучений користувач (вилучена мережа) наділяється повноваженнями для роботи в мережі, тобто відбувається процес авторизації.
2.1. Класифікація VPN
Класифікувати VPN рішення можна за декількома основними параметрами: За ступінню захищеності використовуваного середовища
Захищені. Найпоширеніший варіант віртуальних приватних мереж. З його допомогою можливо створити надійну й захищену на основі ненадійної мережі, як правило, Інтернету. Прикладом захищених VPN є: IPSec, OpenVPN і PPTP.
Довірчі. Використовуються у випадках, коли передавальне середовище можна вважати надійним і необхідно вирішити лише задачу створення віртуальної підмережі в рамках більшої мережі. Проблеми безпеки стають неактуальними. Прикладами подібних VPN рішень є: Multi-protocol label switching (MPLS) і L2TP (Layer2Tunnelling Protocol). (точніше сказати, що ці протоколи перекладають задачу забезпечення безпеки на інші, наприклад L2TP, як правило, використовується в парі з IPSec).
За способом реалізації
У вигляді спеціального програмно-апаратного забезпечення. Реалізація VPN мережі здійснюється за допомогою спеціального комплексу програм- но-апаратних засобів. Така реалізація забезпечує високу продуктивність і, як правило, високий ступінь захищеності.
У вигляді програмного рішення. Використовують персональний ком- п'ютер зі спеціальним програмним забезпеченням, що забезпечує функціональність VPN.
Інтегроване рішення. Функціональність VPN забезпечує комплекс, що вирішує також задачі фільтрації мережного трафіка, організації мережного екрана й забезпечення якості обслуговування.
За призначенням
Intranet VPN. Використовують для об'єднання в єдину захищену мережу декількох розподілених філій однієї організації, що обмінюються даними відкритими каналами зв'язку.
24
Remote Access VPN. Використовують для створення захищеного каналу між сегментом корпоративної мережі (центральним офісом або філією) і одиночним користувачем, що, працюючи дома, підключається до корпоративних ресурсів з домашнього комп'ютера, корпоративного ноутбука, смартфона або інтернет-кіоскa.
ExtranetVPN. Використовують для мереж, до яких підключаються «зовнішні» користувачі (наприклад, замовники або клієнти). Рівень довіри до них набагато нижче, ніж до співробітників компанії, тому потрібне забезпечення спеціальних «рубежів» захисту, що запобігають або обмежують доступ останніх до особливо коштовної, конфіденційної інформації.
Internet VPN. Використовується для надання доступу до інтернету провайдерами, звичайно, у випадку, якщо одним фізичним каналом підключаються декілька користувачів.
|
|
TCP/IP |
|
|
|
|
|
Мережний |
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
IPX |
|
|
|
AppleTalk |
|
Канальний |
|
|
|
Транспортний |
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
За |
|
|
|
За рівнем роботи, |
|
|||||||||
|
|
використаним |
|
|
|
|
|
згідно |
|
||||||||
|
|
протоколом |
|
|
|
|
моделі ISO/OSI |
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Класифікація VPN
|
|
За ступенем |
|
|
|
За засобом |
|
|
За призначенням |
|
|
|
|
||||||||||||||
|
|
захищеності |
|
|
|
|
реалізаціі |
|
|
|
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Таємні |
|
|
Захищені |
|
Програмний |
|
|
Програмно - |
|
Intranet VPN |
|
|
|
Extranet |
|||||||||||||
|
|
|
|
|
апаратний |
|
|
|
|
|
VPN |
||||||||||||||||
|
|
|
|
|
|
|
|
комплекс |
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
комплекс |
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Remote Accеss |
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
Інтегровані |
|
|
|
|
|
VPN |
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
рішення |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рисунок 2.1 – Класифікація VPN
Client/Server VPN. Він забезпечує захист переданих даних між двома вузлами (не мережами) корпоративної мережі. Особливість даного варіанта в тім, що VPN будується між вузлами, які перебувають, як правило, в одному сегменті мережі, наприклад, між робочою станцією та сервером. Така необхідність дуже часто виникає в тих випадках, коли в одній фізичній мережі необхідно створити кілька логічних мереж. Наприклад, коли треба розділити трафік між фінансовим департаментом і відділом кадрів, що звертаються до серверів,
25
що перебуває в одному фізичному сегменті. Цей варіант схожий на технологію VLAN, але замість поділу трафіка, використовується його шифрування.
За типом протоколу. Існують реалізації віртуальних приватних мереж під TCP/IP, IPX і AppleTalk. Але на сьогоднішній день спостерігається тенденція до загального переходу на протокол TCP/IP, і абсолютна більшість VPN рішень підтримує саме його. Адресація у ньому найчастіше вибирається у відповідності зі стандартом RFC5735, з діапазону Приватних мереж TCP/IP
За рівнем мережого протоколу. За рівнем мережного протоколу на основі зіставлення з рівнями еталонної мережної моделі ISO/OSI.
2.2. Типи технологій VPN
Типи технології VPN поділяються:
1) VPN на базі орендованих каналів. Територіальні канали, що орендуються, прокладаються провайдером транспортних територіальних послуг в його первинній мережі FDM (Frequency Division Multiplexing – технологія частотно-
го мультиплексування), PDH (Plesiochronous Digital Hierarchy – плезіохронна цифрова ієрархія), SDH (Synchronous Digital Hierarchy – синхронна цифрова іє-
рархія) або мережі з інтегральними послугами ISDN (Integrated Services Digital Network – цифрова мережа з інтеграцією служб). За умов оренди каналу, в таких мережах підприємство ділить пропускну спроможність магістральних каналів і комутаторів цієї мережі з іншими абонентами даного провайдера. Канали, що зв'язують центральну мережу підприємства з мережами філій, проходять через мультиплексор, об'єднуючий канали всіх абонентів у магістральний канал. Не дивлячись на те, що територіальні канали в цьому випадку вже не відносяться до власності підприємства, корпоративні мережі, побудовані на орендованих каналах, також називають приватними, з двох причин. По-перше, смуга пропускання орендованого каналу повністю виділяється підприємству, і тому є в деякому розумінні його "приватною власністю". Це повною мірою відноситься до цифрових каналів, що орендуються, які підтримуються провайдером на базі первинної цифрової мережі з технологією мультиплексування TDM (Time Division Multiplexing – мультиплексування з розділенням часу). Наявність гарантованої пропускної спроможності дає можливість адміністраторові мережі планувати роботу додатків через глобальні канали зв'язку: розподіляти пропускну спроможність каналу між додатками, оцінювати можливі затримки повідомлень, обмежувати об'єм територіального трафіка, що генерується, визначати максимальну кількість активних застосувань. По-друге, приватний характер мереж, побудованих на орендованих каналах, підтверджується достатньою конфіденційністю даних. Корпоративні дані практично не доступні для абонентів, що не є користувачами корпоративної мережі або співробітниками органі- зації-провайдера каналів. Комутацію каналів у первинних мережах може виконати лише оператор мережі. Це забезпечує великий ступінь захищеності даних, які передаються каналами первинних мереж. Таким чином, забезпечується прийнятна безпека даних, що передаються, без використання шифрування і взаємної автентифікації абонентів. Мережа, побудована на орендованих каналах, во-
26
лодіє наступними перевагами: гарантована пропускна спроможність, високий ступінь безпеки, ізольованість адресних просторів. Але цій мережі властиві і недоліки: висока вартість, складна масштабованість;
Типи технологій VPN
На основі орендованих каналів
вTDM мережі
1.Гарантована
пропускна здатність;
2.Високий рівень безпеки;
3.Ізольованість адресного простору.
1.Висока собівартість;
2.Погана масштабованість.
На основі мереж, зі |
|
На основі IP-мережі, з |
встановленням |
|
|
|
використанням |
|
віртуальних каналів |
|
|
|
протоколу IPSec |
|
(ATM, Frame Relay) |
|
|
|
|
|
|
|
|
Переваги |
||
1. Гарантована |
|
|
пропускна |
1.Захист інформації, яка |
|
здатність; |
передається мережею; |
|
2. Високий рівень |
2. |
Підтримка QoS; |
безпеки; |
3. |
Висока |
3. Ізольованість |
масштабованість; |
|
адресного простору. |
4. |
Можлива активація |
|
резервного каналу; |
|
|
5. |
Легкість надання |
|
додаткових послуг; |
|
Недоліки
1. Постійні віртуальні |
1. Не підтримує |
канали необхідно |
широкомовний |
налаштовувати |
трафік; |
вручну; |
2. Підтримує лише |
2. Послуга надається |
протоколи IP |
за допомогою засобів |
|
2-го рівня моделі OSI, |
|
тому не має |
|
можливості надавати |
|
високо розвинені |
|
послуги (електронна |
|
комерція, |
|
розповсюдження VPN |
|
для домашніх |
|
співробітників і |
|
мобільних |
|
користувачів та ін.). |
|
На основі MPLS
1.Високий рівень безпеки;
2.Висока масштабованість;
3.Можливість
встановлювати пріоритети;
4.Реалізована архітектура передачі інформації схемою „Кожний з кожним‖ ;
5.Можливість передачі різного типу трафіку (голос, відео, дані) в рамках одного підключення;
6.Легкість конфігурації VPN.
1.Відсутнє шифрування. але для вирішення проблеми можна застосовувати
IPSec.
Рисунок 2.2 – Типи технологій VPN
2) VPN на базі мережі зі встановленням віртуальних каналів – АТМ (Asynchronous Transfer Mode – асинхронний спосіб передачі даних), FR (Frame
27
Relay – «ретрансляція кадрів»). В даному випадку віртуальні канали імітують сервіс виділених каналів (гарантована пропускна спроможність, ізоляція трафіка). Послуга реалізується можливостями 2-го рівня моделі OSI (Open Systems Interconnection Reference Model – еталонна модель взаємодії відкритих систем), отже, немає можливості запропонувати розвиненіші централізовані сервіси. Трафік в такій мережі не шифрується;
3)VPN на базі MPLS (Multi-Protocol Label Switching – мультипротокольна комутація за мітками). Технологія MPLS дозволяє пересилати дані за допомогою міток, що прикріплюються до кожного пакета. Внутрішні вузли ядра мережі, MPLS, що підтримують, не потребують аналізу вмісту кожного пакета. Зокрема, не розглядається IP-адреса одержувача, що дає можливість MPLS надати ефективний механізм інкапсуляції для приватного трафіка, передаваного по магістралі сервіс-провайдера. Мережа MPLS може розділяти трафік і забезпечувати його захист без шифрування і тунелюваня. Технологія MPLS підтримує безпеку в кожній окремій мережі, точно так, як і мережі Frame Relay і АТМ підтримують її для кожного окремого з'єднання. Якщо традиційна мережа VPN надає базові посуги мережного транспорту, то мережа з технологією MPLS – це масштабовані послуги VPN, які допускають підтримку IP-додатків (Internet Protocol – міжмережний протокол) з доданою цінністю поверх базової транспортної мережі VPN. MPLS-VPN – це справжня однорангова VPN, яка розділяє трафік на 3-му рівні моделі OSI за допомогою роздільних IP VPN таблиць передачі. MPLS-VPN може відокремити трафік одного замовника від іншого, тому що кожній мережі VPN кожного замовника привласнюється унікальний ідентифікатор. Це створює такі ж умови безпеки, як в мережах АТМ і Frame Relay, тому що користувач мережі VPN не може бачити трафік, що передається за межами цієї мережі;
4)VPN на базі публічної IP-мережі з використанням протоколу IPSec (скорочення від IP Security). Протокол IPSec пропонує методи шифрування мережного рівня, що забезпечує можливість автентифікації і сервіс шифрування між кінцевими точками в загальнодоступних IP-мережах.
2.3. Протоколи VPN
Для створення мереж VPN розроблено безліч протоколів. Кожний із цих протоколів забезпечує певні можливості VPN.
Наприклад, протокол IPSec пропонує методи шифрування мережного рівня, що забезпечують можливості автентифікації й сервіс шифрування між кінцевими точками в загальнодоступних IP-Мережах.
Інші протоколи забезпечують підтримку певних можливостей VPN за допомогою тунелювання, тобто інкапсуляції даних або протоколів в інші протоколи.
Нижче перераховані деякі з найбільш популярних тунельних протоколів, використовуваних для створення мереж VPN.
Протокол GRE (Generic Routing Encapsulation – загальна інкапсуляція для маршрутизації). Розроблений Cisco тунельний протокол, що забезпечує інкапсуляцію багатьох типів протокольних пакетів у тунелі IP, створює віртуаль-
28
ний двоточковий зв'язок з маршрутизаторами Cisco у вилучених точках ІPмережі.
Протокол L2F (Layer 2 Forwarding – протокол пересилання рівня 2). Розроблений Cisco тунельний протокол, який дозволяє створити мережу VPDN (Virtual Private Dialup Network – віртуальна приватна мережа, що комутується)
–система, що забезпечує існування мереж, які комутуються, поширюється на вилучені домашні офіси, які видадуться при цьому безпосередньою частиною мережі підприємства.
Протокол РРТР (Point-to-Point Tunneling Protocol – протокол тунелювання двоточкового з'єднання). Розроблений Microsoft мережний протокол, що забезпечує захищену передачу даних від вилученого клієнта до приватного сервера підприємства за допомогою створення мережі VPN над IP-Мережами. Протокол РРТР підтримує маршрутизацію на вимогу, багатопротокольний обмін і віртуальні приватні мережі у відкритих мережах типу Internet.
Протокол L2TP (Layer 2 Tunnel Protocol – протокол тунелювання PРР- з'єднання рівня 2). Розроблений Cisco і Microsoft тунельний протокол, що дозволяє створювати мережі VPDN. Протокол L2TP є розширенням протоколу
РРР (Point-to-Point Protocol – протокол передачі від точки до точки), використовуваного для мереж VPN, і поєднує кращі можливості тунельних протоколів РРТР і L2F.
Протокол МРРЕ (Microsoft Point-to-Point Encryption – протокол Microsoft шифрування двоточкового з'єднання). Засіб перекладу пакетів РРР у шифровану форму. Дозволяє створити захищений Vpn-зв'язок, що комутується або вилучену мережу. Для забезпечення конфіденційності даних у рамках МРРЕ використовується алгоритм шифрування RSA типу RC4.
2.4. Шифрування, автентифікація, контроль доступу
Можна виділити три фундаментальні властивості, які перетворюють накладену корпоративну мережу, побудовану на базі мережі загального користування, у віртуальну приватну мережу:
шифрування;
автентифікація;
контроль доступу.
Тільки реалізація всіх цих трьох властивостей дозволяє захистити призначені для користувача машини, сервери підприємства і дані, передавані по фізично незахищених каналах зв'язку, від зовнішніх небажаних вторгнень, просочування інформації і несанкціонованих дій.
Шифрування – перетворення інформації, що захищається, в шифроване повідомлення за допомогою певних правил, що містяться в шифрі. Прочитати перетворений текст може лише той, хто володіє спеціальним ключем.
Сучасні системи шифрування можна розділити на два великі класи:
1) симетричні системи – в них для шифрування і дешифровки тексту використовується один і той же ключ. Шифрування з секретним ключем забезпе-
29
чує конфіденційність інформації в зашифрованому стані. Розшифрувати повідомлення можуть лише ті особи, яким відомий ключ. Будь-яка зміна в повідомленні, внесена під час передачі, буде виявлена, оскільки після цього не вдасться правильно розшифрувати повідомлення. Шифрування з секретним ключем не забезпечує автентифікацію, оскільки будь-який користувач може створювати, шифрувати і відправляти дійсне повідомлення. Найбільш поширені алгоритми шифрування з секретним ключем:
DES (Data Encryption Standard – стандарт шифрування даних) був розроблений компанією IBM на початку 1970-х рр. DES використовує ключ завдовжки 56 біт. Використовуються 7 біт з байта, восьмий біт кожного байта використовується для контролю парності. DES є блоковим алгоритмом шифрування, який обробляє одноразово один 64-бітовий блок відкритого тексту. У алгоритмі DES виконуються 16 циклів шифрування з різним підключем в кожному з циклів. Ключ піддається дії свого власного алгоритму для створення 16 підключів;
Потрійний DES використовується або з двома, або з трьома ключами. 3DES є відносно швидким алгоритмом, оскільки його можна реалізувати апаратно. Його функціонування займає в три рази більше часу, ніж для DES, оскільки мають місце три операції шифрування DES;
AES (Advanced Encryption Standar), також відомий як Rijndael, є зразко-
вий шифр, що використовує ключі і блоки завдовжки 128, 192 або 256 біт. На сьогоднішній день така довжина ключів забезпечує практичну нездійсненність атак. Алгоритм складається з 10-14 циклів, залежно від розмірів блоку відкритого тексту і розміру ключа;
2) асиметричні системи використовують різні ключі для шифрування і дешифровки тексту. Шифрування з відкритим ключем є пізнішою технологією, ніж шифрування з секретним ключем. Обидва абоненти (і відправник, і одержувач) повинні мати ключ. Ключі зв'язані один з одним, але вони різні. Зв'язок між ключами полягає в тому, що інформація, зашифрована з використанням ключа K1, може бути дешифрована лише за допомогою його пари – ключа K2. Якщо інформація зашифрована за допомогою K2, то розшифрувати її можна лише з використанням ключа K1. На практиці один ключ називають секретним,
аінший - відкритим. Секретний ключ знаходиться в таємниці власника пари ключів. Відкритий ключ передається разом з інформацією у відкритому вигляді. Ще однією особливістю шифрування з відкритим ключем є те, що якщо у абонента є один з ключів пари, інший ключ обчислити неможливо. Саме тому відкритий ключ передається у відкритому вигляді. Якщо важливо забезпечити конфіденційність, шифрування виконується з відкритим ключем. Недоліком систем шифрування з відкритим ключем є те, що вони вимагають великих обчислювальних потужностей, отже, є набагато менш швидкодіючими, ніж системи з секретним ключем. Проте, якщо скомбінувати шифрування з відкритим і секретним ключами, вийде набагато потужніша система шифрування. Система шифрування з відкритим ключем використовується для обміну ключами і автентифікації абонентів на обох сторонах з’єднання. Система шифрування з секрет-
30