Протоколы

Семейство сетевых протоколов для реализации VPN довольно обширно, однако лишь три из них получили широкое распространение. Это IPSec, PPTP и L2TP.

IPSec – Internet Protocol Security - уже был подробно рассмотрен на данном сайте в статье Станислава Коротыгина.

PPTP – Point-to-Point Tunneling Protocol - создан усилиями Microsoft, US

L2TP – Layer 2 Tunneling Protocol - гордость "сетевого монстра" - Cisco.

наиболее распространенным протоколом VPN в настоящее время является IPSec. Более 65 процентов частных виртуальных сетей созданы на его основе.

Реализация

Все продукты для создания VPN можно условно разделить на две категории: программные и аппаратные. Программное решение для VPN - это, как правило, готовое приложение, которое устанавливается на подключенном к сети отдельном компьютере. Ряд производителей, такие как компании Axent Technologies, Check Point Software Technologies и NetGuard, поставляют VPN-пакеты, которые легко интегрируются с программными межсетевыми экранами и работают на различных операционных системах, включая Windows NT/2000, Sun Solaris и Linux. Поскольку для построения VPN на базе специализированного программного обеспечения требуется создание отдельной компьютерной системы, такие решения обычно сложнее для развертывания, чем аппаратные. Создание подобной системы предусматривает конфигурирование сервера для распознавания данного компьютера и его операционной системы, VPN-пакета, сетевых плат для каждого соединения и специальных плат для ускорения операций шифрования. Такая работа в ряде случаев может оказаться затруднительной даже для опытных специалистов. С другой стороны, программные решения для VPN стоят относительно недорого.

В отличие от них аппаратные VPN-решения включают в себя все, что необходимо для соединения, - компьютер, частную (как правило) операционную систему и специальное программное обеспечение. Ряд компаний, в том числе Cisco Systems, NetScreen и Sonic, предлагают целый спектр решений, которые могут масштабироваться в зависимости от количества одновременных VPN-соединений, с которыми предполагается работать, и ожидаемого объема трафика. Развертывать аппаратные решения, безусловно, легче. Они включают в себя все, что необходимо для конкретных условий, поэтому время, за которое их можно запустить, исчисляется минутами или часами. Еще одним серьезным преимуществом аппаратных VPN-решений является гораздо более высокая производительность. К минусам аппаратных VPN-решений можно отнести их высокую стоимость. Еще один недостаток таких решений состоит в том, что управляются они отдельно от других решений по безопасности, что усложняет задачу администрирования инфраструктуры безопасности, особенно при условии нехватки сотрудников отдела защиты информации.

Защита информации

Защита информации в понимании VPN включает в себя кодирование (encryption), подтверждение подлинности (authentication) и контроль доступа (access control). Кодирование подразумевает шифрование передаваемой через VPN информации. Прочитать полученные данные может лишь обладатель ключа к шифру.

Наиболее часто используемыми в VPN-решениях алгоритмами кодирования в наше время являются DES, Triple DES и различные реализации AES. Степень защищенности алгоритмов, подходы к выбору наиболее оптимального из них – это тоже отдельная тема, которую мы не в состоянии обсудить.

Подтверждение подлинности включает в себя проверку целостности данных и идентификацию лиц и объектов, задействованных в VPN. Первая гарантирует, что данные дошли до адресата именно в том виде, в каком были посланы. Самые популярные алгоритмы проверки целостности данных на сегодня – MD5 и SHA1.

Идентификация - это процесс удостоверения того, что объект действительно является тем, за кого/что он себя выдает. Здесь, помимо традиционных схем имя - пароль, все более и более активно используются системы сертификатов и специальных серверов для их проверки - CA (Certification Authorities). Такие серверы являются, как правило, частью систем PKI (Public Key Infrastructure). Популярные ныне PKI, например Verisign или Entrust, могут обслуживать сертификаты и идентифицировать их держателей по протоколам HTTP и LDAP (X.509). Кроме того, для идентификации могут быть использованы биометрия, неизменяемые характеристики оборудования (например, MAC-адреса) или специальные идентификационные комплексы (Tacacs, Radius).

Контроль трафика подразумевает определение и управление приоритетами использования пропускной полосы VPN. С его помощью мы можем установить различные пропускные полосы для сетевых приложений и сервисов в зависимости от степени их важности.

Защита информации в Windows 2000. Объект доступа EFS

EFS использует архитектуру Windows CryptoAPI. В ее основе лежит технология шифрования с открытым ключом. Для шифрования каждого файла случайным образом генерируется ключ шифрования файла. При этом для шифрования файла может применяться любой симметричный алгоритм шифрования. В настоящее же время в EFS используется один алгоритм, это DESX, являющийся специальной модификацией широко распространенного стандарта DES.

Ключи шифрования EFS хранятся в резидентном пуле памяти (сама EFS расположена в ядре Windows 2000), что исключает несанкционированный доступ к ним через файл подкачки.

Все, что от вас требуется для шифрования файла, — это установить атрибут шифрования “encrypt contents to secure data” в папке, где вы хотите хранить зашифрованные данные. Файлы прозрачно шифруются по мере записи на диск и расшифровываются во время считывания с диска. В результате вы можете шифровать файлы ваших пользователей в их каталогах, находящихся на сервере, работающем под управлением Windows 2000, даже если ваши пользователи все еще работают с определенными системами, которые не обеспечивают реальную безопасность данных, например с Windows 95. Когда пользователь рабочей станции обращается к зашифрованному каталогу на сервере под управлением Windows 2000, данные расшифровываются на сервере, а затем посылаются рабочей станции.

EFS обеспечивает встроенную поддержку восстановления данных на тот случай, если потребуется их расшифровать, но, по каким-либо причинам, это не может быть выполнено обычным. По умолчанию, EFS автоматически сгенерирует ключ восстановления, установит сертификат доступа в учетной записи администратора и сохранит его при первом входе в систему. Таким образом, администратор становится так называемым агентом восстановления, и сможет расшифровать любой файл в системе.

EFS осуществляет шифрование данных, используя схему с общим ключом. Данные шифруются быстрым симметричным алгоритмом при помощи ключа шифрования файла FEK (file encryption key). FEK - это случайным образом сгенерированный ключ определенной длины. Длина ключа в североамериканской версии EFS 128 бит, в международной версии EFS используется уменьшенная длина ключа 40 или 56 бит.

<<< < Предыдущая 1 2 3 45 / 65 6 > Следующая >>>

Соседние файлы в предмете Защита информации

#
02.05.201455.81 Кб129Лабораторная работа - Шифрование, дешифрование информации с применением криптографических алгоритмов перестановок.doc
#
02.05.2014465.92 Кб145Лекции по защите информации(1).DOC
#
02.05.20141.28 Mб271Лекции по защите информации.doc
#
02.05.201410.65 Mб128Молдовя Н.А., Молдовя А.А. Криптография с открытым ключом [DjVu].djvu
#
02.05.20141.18 Mб248Основы хакерства.doc
#
02.05.2014282.11 Кб85Ответы по защите информации.doc
#
02.05.2014203.26 Кб92Отчет по лабораторной работе №1.doc
#
02.05.2014529.92 Кб74Отчет по лабораторной работе №2.doc
#
02.05.2014329.22 Кб71Отчет по лабораторной работе №3.doc
#
02.05.2014406.53 Кб78Отчет по лабораторной работе №4.doc
#
02.05.2014674.3 Кб70Отчет по лабораторной работе №5.doc