- •Тема 3.5. Виртуальные частные сети(vpn).
- •Туннелирование в vpn
- •Уровни защищенных каналов
- •Защита данных на канальном уровне
- •Организация vpn средствами протокола pptp Постановка задачи
- •Защита данных на сетевом уровне
- •Протокол skip
- •Протокол ipSec
- •Организация vpn средствами сзи VipNet Постановка задачи
- •Настройка сетевых соединений виртуальных машин
- •Установка сзи VipNet
- •Настройка сзи VipNet
- •Использование протокола ipSec для защиты сетей Организация vpn средствами сзи StrongNet Описание системы
- •Постановка задачи
- •Организация vpn средствами протокола ssl в Windows Server 2003
- •Активизация iis
- •Генерация сертификата открытого ключа для Web-сервера
- •Настройка ssl-соединения
Уровни защищенных каналов
Итак, необходимо разобраться, данные какого уровня модели OSIподлежат шифрованию в процессе организацииVPN.
Рассмотрим упрощенную модель OSI, реализованную в стеке протоколовTCP/IP. Эта модель предполагает наличие четырех уровней: прикладного, транспортного, сетевого и канального. Соответственно, для каждого уровня возможность шифрования передаваемой информации различна. Так, на прикладном уровне можно скрыть данные, например, электронного письма или получаемойweb-страницы. Однако факт передачи письма, т. е. диалог по протоколуSMTPскрыть невозможно. На транспортном уровне может быть вместе с данными скрыт и тип передаваемой информации, однакоIP-адреса получателя и приемника остаются открытыми. На сетевом уровне уже появляется возможность скрыть иIP-адреса. Эта же возможность имеется и на канальном уровне.
Чем ниже уровень, тем легче сделать систему, функционирование которой будет незаметно для приложений высокого уровня, и тем большую часть передаваемой информации можно скрыть.
Для каждого уровня модели разработаны свои протоколы (табл. 1.1).
Таблица 1.1
Уровни защищенных каналов и протоколы
-
Уровень
Протоколы
Прикладной
S/MIME/PGP/SHTTP
Транспортный (TCP/UDP)
SSL / TLS / SOCKS
Сетевой (IP)
IPSec / SKIP
Канальный
PPTP/L2F/L2TP
Так, на прикладном уровне для защиты электронной почты применяется протокол S/MIME(SecureMultipurposeInternetMailExtension) либо системаPGP. Для защиты обмена по протоколуHTTPприменяется протоколSHTTP(SecureHTTP). На данном уровне шифруется текст передаваемого почтового сообщения или содержимоеHTML-документа. Недостатками организацииVPNна базе протоколов прикладного уровня является узкая область действия, для каждой сетевой службы должна быть своя система, способная интегрироваться в соответствующие приложения. В пособии мы не будем подробно рассматривать системы этого уровня.
На транспортном уровне чаще всего применяются протоколы SSL(SecureSocketLayer) и его более новая реализация —TSL(TransportLayerSecurity). Также применяется протоколSOCKS. Особенность протоколов транспортного уровня — независимость от прикладного уровня, хотя чаще всего шифрование осуществляется для передачи по протоколуHTTP(режимHTTPS). Недостатком является невозможность шифрованияIP-адресов и туннелированияIP-пакетов.
На сетевом уровне используются два основных протокола: SKIP(SimpleKeymanagementforInternetProtocol– простое управление ключами дляIP-протокола) иIPSec. На данном уровне возможно как шифрование всего трафика, так и туннелирование, включающее скрытиеIP-адресов. На сетевом уровне строятся самые распространенныеVPNсистемы.
Канальный уровень представлен протоколами PPTP(Point-to-PointTunnelingProtocol),L2F(Layer-2Forwarding) иL2TP(Layer-2TunnelingProtocol). Достоинством данного уровня является прозрачность не только для приложений прикладного уровня, но и для служб сетевого и транспортного уровня. В частности, достоинством является независимость от применяемых протоколов сетевого и транспортного уровня — это может быть не толькоIP-протокол, но и протоколыIPX(применяется в локальных сетях с серверами на основе ОСNovellNetware) иNetBEUI(применяется в локальных сетяхMicrosoft). Шифрованию подлежат как передаваемые данные, так иIP-адреса.
В каждом из указанных протоколов по-разному реализованы алгоритмы аутентификации и обмена ключами шифрования.