• Xml (Extensible Markup Language — расширенный язык разметки) и cXml (Commerce xml — коммерческий xml). Как и html, этот язык обеспечивает совместимость разных платформ.

• OBI (Open Buying on the Internet — открытая торговля no Internet). Является стандартом для сделок электронной коммерции.

Соединения vpn между офисами

В этом сценарии соединение между двумя офисами филиалов компании устанавливается с использованием конфигурации VPN от маршрутизатора к маршрутизатору. Такая конфигурация называется также от шлюза к шлюзу. Сервер VPN работает как маршрутизатор, выполняющий передачу IP-пакетов (рис. 16.7).

Локальная сеть каждого из офисов имеет маршрутизируемое соединение с Internet. Это соединение может быть коммутируемым или постоянным. Если используется коммутируемое соединение, то маршрутизатор, инициирующий соединение, использует коммутируемое соединение с Internet. Вызываемый маршрутизатор должен иметь выделенное (постоянное) соединение с Internet. Он должен быть также сконфигурирован на обработку запросов на коммутируемые соединения по требованию. На вызывающем маршрутизаторе конфигурируются два коммутируемых соединения по требованию: одно для набора номера провайдера, а другое для установки соединения с VPN. Если оба маршрутизатора имеют выделенные соединения с Internet, то при желании соединение VPN может быть установлено постоянно.

Сеть VPN от маршрутизатора к маршрутизатору может быть сконфигурирована таким образом, что один маршрутизатор будет работать как клиент, инициирующий соединение, а другой — как сервер VPN. Такое одностороннее соединение предпочтительно, если оно должно быть постоянно открытым. Можно также создать двустороннее соединение, которое может быть инициировано каждым маршрутизатором. В этом случае оба маршрутизатора должны иметь постоянное соединение с Internet и должны быть сконфигурированы как маршрутизаторы локальной и глобальной сетей.

Для соединения двух локальных сетей на основе Linux или FreeBSD используется специальное программное обеспечение, например vpnd (VPNdaemon). В этом случае безопасность передаваемых по соединению данных обеспечивается применением алгоритма шифрования Blowfish.

Протоколы VPN

В этом разделе рассматриваются три типа протоколов, применяемых в VPN.

• Протоколы туннелирования. Иногда их называют протоколами VPN. Используются для создания туннеля.

• Протоколы шифрования. Другое название — протоколы безопасности. Используются для обеспечения безопасности данных.

• Сетевые/транспортные протоколы. Иногда их называют локальными протоколами. Применяются для коммуникации в частной сети.

Протоколы туннелирования

Протоколы туннелирования инкапсулируют данные таким образом, что заголовки исходных протоколов оказываются внутри инкапсулирующих заголовков. Рассмотрим следующие протоколы туннелирования:

• РРТР (Point-to-Point Tunneling Protocol);

• L2F (Layer 2 Forwarding);

• L2TP (Layer 2 Tunneling Protocol);

• IPSec (IP Security);

• SSH (Secure Shell) и SSH2;

• CIPE (Crypto IP Encapsulation).

PPTP

Разработанный компанией Microsoft протокол PPTP стал стандартным протоколом туннелирования. Фактически он является расширением канального протокола РРР, используемым для создания каналов глобальных сетей посредством соединений удаленного доступа. Протокол РРТР работает следующим образом.

1. Пакеты РРР (это могут быть пакеты IP, IPX или NetBEUI) инкапсулируются в заголовок GRE (Generic Routing Encapsulation). Добавляется также заголовок IP, содержащий IP-адреса источника и получателя данных. Источник — это клиент VPN, получатель — сервер VPN.

2. Данные исходной дейтаграммы (пакета с адресной информацией) обычно зашифрованы, поэтому несанкционированные пользователи не смогут их прочитать. В сетях VPN компании Microsoft совместно с РРТР используется протокол МРРЕ, в котором для повышения безопасности данные дополнительно шифруются.

Программное обеспечение РРТР на компьютерах Linux или UNIX называется PPTP-linux. С его помощью компьютер Linux может устанавливать соединения с серверами РРТР. Разработано также программное обеспечение серверов РРТР (называемое РоРТоР) для Linux, Sun Solaris, FreeBSD и других реализаций UNIX. Распространяется оно бесплатно. Серверы на его основе могут обслуживать клиентов как Windows, так и PPTP-linux.

Клиенты Macintosh могут устанавливать соединение с серверами Windows РРТР с помощью программ других поставщиков, например Tunnel Builder компании Network Telesystems.

L2F

В 1996 году компания Cisco разработала протокол L2F и включила его в свою систему IOS. Будучи альтернативой РРТР, протокол L2F способен создавать туннели в каналах ATM и Frame Relay. Для РРТР необходимо использование IP, в то же время для L2F протокол IP не обязателен. Кроме того, в L2F выполняется дополнительная аутентификация в концах туннеля.

L2TP

На основе объединения РРТР и L2P компании Microsoft и Cisco создали протокол L2TP. Подобно РРТР, он инкапсулирует данные, передаваемые посредством IP. Протокол L2TP может также инкапсулировать данные для передачи по каналам ATM, Frame Relay или Х.25. Таким образом, L2TP можно использовать для туннелирования данных как по Internet, так и по специальным носителям глобальных сетей без применения IP. Перечислим некоторые преимущества L2TP по сравнению с РРТР.

• Поддерживает множественное туннелирование между двумя точками. Это позволяет создавать отдельные туннели, например с разными уровнями QoS (Quality of Service).

• Поддерживает сжатие заголовков, что повышает производительность.

• В отличие от РРТР, может выполнять аутентификацию туннелей.

• Может работать в межсетевых соединениях на основе виртуальных каналов ATM или Frame Relay без использования IP.

IPSec

Протокол IPSec можно использовать для шифрования данных, передаваемых по туннелю, созданному другим протоколом, таким, как L2TP. Его можно также использовать в режиме туннелирования, т.е. для создания туннеля. В режиме туннелирования IPSec используется для инкапсулирования пакетов IP. Туннель IPSec можно сконфигурировать на защиту данных как между двумя IP-адресами, так и между двумя подсетями IP.

В IPSec используются протоколы АН (Authentication Header) и ESP (Encapsulating Security Payload), причем может быть использован как один из них, так и оба.

Режим туннелирования АН

В отдельно взятом режиме АН не выполняется шифрование данных, передаваемых по туннелю. Однако он гарантирует целостность данных, проверяя, не изменялись ли они кем-либо. Кроме того, в режиме АН аутентифицируется отправитель. При использовании АН в адрес передающего или принимающего компьютера не могут быть внесены никакие изменения на всем пути пакета по туннелю.

Режим туннелирования ESP

В этом режиме исходные адреса источника и приемника данных содержатся в исходном (инкапсулированном) заголовке IP. Внешний заголовок обычно содержит адреса шлюзов. В режиме ESP данные шифруются с помощью алгоритмов DES или 3DES.

При использовании ESP внешний заголовок IP не защищен и его целостность не гарантируется. Если необходимы шифрование, аутентификация и гарантия целостности всего пакета, то следует применять АН и ESP совместно.

Межоперационное взаимодействие IPSec

Операционная система Windows содержит встроенные средства поддержки IPSec. Протокол IPSec стандартизирован IETF. Он работает также в операционных системах UNIX, Macintosh и других, поддерживающих семейство протоколов IP. В IPSec аутентификация может выполняться разными методами, включая предварительно согласованные секретные ключи, Kerberos и службы сертификации.

Для Linux протокол IPSec реализован в программе FreeS/WAN, которая распространяется бесплатно и может быть выгружена из Internet.

SSH/SSH2

Протокол SSH первоначально разрабатывался для предоставления безопасных альтернатив команды г системы UNIX, таких, как rsh, rlogin и rep. В протоколе SSH используются сильные методы шифрования и аутентификации. Его развитие — версия SSH2 — представляет собой безопасный протокол туннелирования, используемый для создания VPN под управлением операционных систем UNIX или Linux. Сети