Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
Методи побудови віртуальних захищених мереж
Інформація про навчальний заклад
ВУЗ:
Інші
Інститут:
Не вказано
Факультет:
Не вказано
Кафедра:
Не вказано
Інформація про роботу
Рік:
2012
Тип роботи:
Бакалаврська робота
Предмет:
Організація захисту інформації з обмеженим доступом
Частина тексту файла (без зображень, графіків і формул):
Національна академія Служби безпеки України
Навчально-науковий інститут інформаційної безпеки
Андрощук Сергій Михайлович
Методи побудови віртуальних захищених мереж
Бакалаврська робота
напрям підготовки 1601 «Військові науки, національна безпека, безпека державного кордону»
спеціальність - 6.160103 «Організація захисту інформації
з обмеженим доступом»
освітньо-кваліфікаційний рівень – бакалавр
Кафедра організації захисту
інформації з обмеженим доступом
Науковий керівник
Кащук Владислав Іванович
_____________________________
/Підпис наукового керівника/
/Підпис студента/
Київ - 2012
Бібліографічний опис
Андрощук С.М. Методи побудови віртуальних захищених мереж: Бакалаврська робота: (6.160103 «Організація захисту інформації з обмеженим доступом») / НА СБ України. Кафедра захисту інформації з обмеженим доступом; наук. кер.: Кащук В.І. – К., 2012. – 58 с.
Зміст роботи: Технологія VPN як інструмент захисту інформації у комп’ютерних мережах. Концепція побудови захищених віртуальних приватних мереж – VPN. Варіанти побудови захищених каналів VPN. Класифікація віртуальних приватних мереж VPN. Криптографія як невід’ємна частина VPN. Методи шифрування. Електронний цифровий підпис.
Ключові слова: інформація з обмеженим доступом, VPN, електронний цифровий підпис, шифрування.
ЗМІСТ
ВСТУП
РОЗДІЛ 1. ЗАГАЛЬНА ХАРАКТЕРИСТИКА ВІРТУАЛЬНИХ ЗАХИСНИХ МЕРЕЖ ………………………………………………………………………………6
1.1 Поняття віртуальних захисних мереж………………………………………....6
1.2 Класифікація віртуальних захисних мереж та їх компоненти……………...10
Висновки до розділу 1……………………………………………………………...16
РОЗДІЛ 2. ТЕХНОЛОГІЯ ВІРТУАЛЬНИХ ЗАХИСНИХ МЕРЕЖ ЯК ІНСТРУМЕНТУ ЗАХИСТУ ІНФОРМАЦІЇ У КОМП’ЮТЕРНИХ МЕРЕЖАХ………………………………………………………………………….17
2.1 Концепція побудови захищених віртуальних приватних мереж……………17
2.2 Варіанти побудови захищених каналів VPN…………………………………24
2.3 Класифікація віртуальних приватних мереж VPN…………………………...31
Висновки до розділу 2……………………………………………………………...46
РОЗДІЛ 3. КРИПТОГРАФІЯ ЯК НЕВІД’ЄМНА ЧАСТИНА VPN……………..47
3.1 Методи шифрування…………………………………………………………...47
Висновки до розділу 3……………………………………………………………...56
ВИСНОВОК………………………………………………………………………...57
Список використаних джерел……………………………………………………..58
Вступ
Інформація серед усіх факторів діяльності будь-яких компаній, організацій по важливості виходить на перше місце. Відомий вислів “хто володіє інформацією, той володіє світом” є дуже актуальним в XXI столітті. Тому завжди будуть існувати люди або групи людей, які захочуть незаконно цією інформацією володіти. Особливо, якщо ця інформація конфіденційна.
В сучасну еру високих технологій велика кількість інформації зберігається в електронному вигляді. Методів захисту, які використовуються в наш, час велика кількість, але для того, щоб уникнути несанкціонованого доступу до конфіденційної інформації або мінімізувати ризик успішних атак, необхідно знайти найефективніший варіант поєднання цих методів. При цьому слід врахувати вартість проекту, щоб вона відповідала цінності даних.
Віртуальні приватні мережі (VPN, VirtualPrivateNetwork) - це одна з тих технологій, про які не відомо, звідки вони з'явилися. Однак, коли такі технології вкорінюються в інфраструктурі компанії, всі дивуються, як раніше обходилися без них.
Технологія VPN не є новою технологією, але такою сприймається. Технологія VPN існує протягом деякого часу, проте її важко зрозуміти, спроектувати і реалізувати. Причина цьому - відсутність чіткої інформації про всіх частинах, які, доповнюючи один одного, забезпечують роботу віртуальних приватних мереж.
Щоб зрозуміти технологію VPN, перш за все слід усвідомити, що це інфраструктура, а не сутність сама по собі. Віртуальні приватні мережі дозволяють використовувати Інтернет як власну приватну мережу.
Ця технологія важка для розуміння перш за все із-за її багатогранності. Вона включає в себе такі аспекти, як шифрування, служби автентифікації, розміри ключів, криптографію і ступінь захищеності. Безпека є найважливішою частиною даної технології.
Питання реалізації VPN зрозумілі, якщо відомі базові принципи створення мереж взагалі.
Метою та завданням роботи є вивчення технології VPN з метою удосконалення захисту інформації у комп’ютерних мережах.
Для досягнення мети були сформовані наступні завдання:
визначити основні властивості технології VPN щодо захисту інформації у комп’ютерних мережах;
розглянути та дослідити особливості технології VPN;
порівняти можливості основних видів технології VPN;
Об’єктом дослідження є захист інформації у комп’ютерних мережах за допомогою технології VPN.
Предметом дослідження є методи побудови віртуальних захищених мереж.
Методи дослідження: в роботі загальні методи та принципи, що визначаються дисциплінарною специфікою обраної теми. Методологічну основу роботи складають: аналітичний, системний та порівняльний метод.
Структура роботи: робота складається зі вступу, трьох розділів, висновків, списку використаних джерел. Загальний обсяг – 58 сторінок. Список використаних джерел включає 12 найменувань.
РОЗДІЛ 1. Загальна характеристика віртуальних захисних мереж.
1.1 Поняття віртуальних захисних мереж.
Термін «віртуальні приватні мережі» (VPN, VirtualPrivateNetworks) виник на початку 1997 р., але не всі згодні з цим твердженням. Базисною технологією, яка використовується у віртуальних приватних мережах, є стек протоколів TCP / IP, який був розроблений у 60-х роках, проте деякі концепції з'явилися ще раніше.
Щоб пояснити, що таке VPN, необхідно описати два поняття: шифрування і віртуальність.
Шифрування є перетворенням повідомлення, наприклад «Я буду пізно», в якусь тарабарщину, таку як «2deR56Gtr2345hj5Uie04». Інша сторона цього процесу називається дешифрування і є зворотним процесом, тобто «2deR56Gtr2345hj5Uie04» перетвориться в «Я буду пізно». Підхід до безпеки у віртуальних приватних мережах полягає в тому, що ніхто, крім передбачуваного одержувача, не зможе виконати дешифрування. Коли говорять про безпеку VPN або про надійність VPN, мають на увазі саме це.
Поняття «віртуальність» відноситься до ситуації «неначе». Наприклад, настільний комп'ютер звертається до комп'ютера мейнфрейма. Цей комп'ютер чекає термінал певного типу, такий як VT-100. Як настільний комп'ютер буде спілкується з комп'ютером-мейнфреймом, коли мейнфрейм очікує термінал VT-100? Настільний комп'ютер імітує VT-100, тобто він (з допомогою програмного забезпечення) діє так, як якщо б він був VT-100. Мейнфрейм не здогадується, що настільний комп'ютер не є справжнім терміналом VT-100.
Схожу аналогію можна провести, розглянувши простий телефонний дзвінок. Людина бере телефон і набирає номер. При з'єднанні встановлюється шлях по парі проводів до місця призначення. Цей виклик блокується для залишку цього сеансу. Якщо людина перестає розмовляти, але не розриває з'єднання, ланцюг залишається активним, а шлях - блокованим. Це називається «віртуальним» телефонним ланцюгом.
Однак є різниця між таким віртуальним ланцюгом і віртуальністю у VPN. У прикладі з телефоном ніхто інший не допускається в розмову, а ситуація з VPN більше схожа на лінію колективного користування.
Розглянемо деякі визначення віртуальних приватних мереж. Багато хто вважає, що VPN є їх власною приватною мережею поверх відкритої мережі когось іншого. Інше визначення має на увазі одне або декілька з'єднань WAN на спільно використовуваної відкритої мережі, зазвичай в Інтернеті або на магістралі деякого провайдера мережевих послуг. У книзі «Віртуальні приватні мережі» Стівена Брауна поняття VPN визначається так:
Віртуальна приватна мережа - це зашифрований або інкапсульований процес комунікації, який безпечним чином передає дані з однієї точки в іншу; безпека цих даних забезпечена стійкою технологією шифрування, і передані дані проходять через відкриту, незахищену, маршрутизуєму мережу.
У цьому визначенні кілька важливих моментів:
• VPN є зашифрованим або інкапсульованим комунікаційним процесом;
• комунікація між вузлами зашифрована що гарантує безпеку і цілісність даних;
• дані проходять через відкриту, незахищену, маршрутизуєму мережу.
Тому, на відміну від віртуального ланцюга в прикладі з телефонним викликом, дані VPN проходять через колективну лінію і можуть мати багато шляхів до остаточного місця призначення.
VPN можна уявити і як процес відправлення зашифрованих даних з однієї точки в іншу через Інтернет.
VPN можуть також використовуватися на орендованих лініях, на з'єднаннях framerelay / ATM або на службах POTN (PlainOldTelephoneNetwork, Проста стара телефонна мережа), наприклад ISDN (IntegratedServiceDigitalNetwork, Цифрова мережа з інтегрованими послугами) та xDSL (DigitalSubscribeLine, Цифрова абонентська лінія). Деякі реалізації VPN, такі як в топології ретрансляції кадрів (framerelay), вже надаються деякими провайдерами Інтернету. Хоча це приватна мережа з точки зору провайдера, це все ще відкрита мережа з точки зору споживача. Додаючи технологію VPN до свого сегменту кадру (framesegment), споживачі отримують додаткові переваги.
Розглянемо приклад розміщення послуг VPN.
Малюнок 1.1 представляє типові приклади завдання VPN.
На мал. 1.1 показана корпоративна мережа, яка з'єднується з відкритою мережею для транспортування, - поширене розміщення, що використовується сьогодні в технології VPN. Інтернет застосовується як транспортний носій технології VPN, але хмара з Інтернетом можна замінити хмарою з ATM або з framerelay.
Чудовою властивістю технології VPN є її масштабність. У міру того як провайдери мережевих послуг збільшують смугу пропускання на своїх магістралях, VPN теж можуть рости, щоб користуватися цією смугою. Так як VPN не залежать від платформи і не спираються на певну операційну систему, майже будь-який пристрій в компанії може функціонувати або як клієнт VPN, або як сервер. VPN також нададуть простір для власного зростання, більшість пристроїв VPN зможуть керувати будь-якими службами, розміщеними на них. Вони дозволять за запитом створювати тунелі або наскрізну передачу з шифруванням. З'являється можливість створювати тунелі до інших вузлів, наприклад тунель між корпоративним центральним офісом і основними офісами збуту, а пізніше додаткові тунелі для інших офісів.
При створенні VPN необхідно вирішити, чи потребує ваша організація (компанія) в інкапсуляції. Інкапсуляція - це процес розміщення пакету даних усередині IP-пакету. Якщо ви хочете використовувати протокол IPX для комунікації з іншим вузлом через Інтернет, пакет IPX поміщається всередину пакету IP і відсилається. Можна також інкапсульовати IP пакет всередину іншого IP-пакету. Ця конфігурація додає додатковий шар захисту. Тому при використанні протоколу IPX знадобиться пристрій для інкапсуляції пакета IPX всередину пакету IP. Деякі пристрої VPN (у тому числі шлюзи) підтримують цю функціональність.
Як переконатися в тому, що компанія має потребу в VPN? Чи може VPN дійсно допомогти бізнесу розширитися? Хоча постійно говорять про вигоду, яку дають організації технології VPN, існують тільки певні області та програми, де ці технології будуть корисними.
Області, в яких технологія VPN вигідна:
Доступ віддаленого користувача
Програми екстранет
Міжнародні вузли
Різноманітні географічні бази користувачів
Підтримка різноманітних географічних баз користувачів
Недороге ринкове розширення
Помірні вимоги до смуги пропускання
Необхідність в глобальному доступ і з низькою вартістю
Аутсорсинг комутованого доступу
Віртуальні орендовані лінії
Існують також області, де технологія VPN не підходить. Це стосується до внутрішньої інфраструктурі компанії і до спеціальним вимогам.
Технологія VPN не підходить:
Коли надзвичайно важлива продуктивність
Коли затримка у часі неприйнятна
Коли використовуються нестандартні протоколи, які неможливо інкапсулірованниеувласнийпротоколІнтернету (IP)
Коли використовується ізохронний трафік, наприклад телефон
Перед тим, як організовувати VPN необхідно чітко проаналізувати область, де, як здається, треба організувати VPN, продумати, чи піде це на користь, або навпаки приведе до зайвих витрат, і вже потім приймати рішення.
1.2 Класифікація віртуальних захисних мережмереж.
Впорядкувати VPN рішення можна за кількома основними параметрами:
1. За типом використовуваного середовища:
· Захищені VPN мережі. Найбільш поширений варіант приватних приватних мереж. C його допомогою можливо створити надійну і захищену підмережу на основі ненадійної мережі, як правило, Інтернету. Прикладом захищених VPN є: IPSec, OpenVPN і PPTP.
· Довірчі VPN мережі. Використовуються у випадках, коли передавальну середовище можна вважати надійним і необхідно вирішити лише завдання створення віртуальної підмережі в рамках більшої мережі. Питання забезпечення безпеки стають неактуальними. Прикладами подібних VPN рішенні є: MPLS та L2TP. Коректніше сказати, що ці протоколи перекладають завдання забезпечення безпеки на інші, наприклад L2TP, як правило, використовується в парі з IPSec.
2. За способом реалізації:
· VPN мережі у вигляді спеціального програмно-апаратного забезпечення. Реалізація VPN мережі здійснюється за допомогою спеціального комплексу програмно-апаратних засобів. Така реалізація забезпечує високу продуктивність і, як правило, високий ступінь захищеності.
· VPN мережі у вигляді програмного рішення. Використовують персональний комп'ютер зі спеціальним програмним забезпеченням, що забезпечує функціональність VPN.
· VPN мережі з інтегрованим рішенням. Функціональність VPN забезпечує комплекс, вирішальний також завдання фільтрації мережевого трафіку, організації мережного екрану і забезпечення якості обслуговування.
3. За призначенням:
· Intranet VPN. Використовують для об'єднання в єдину захищену мережу кількох розподілених філій однієї організації, які обмінюються даними по відкритих каналах зв'язку.
· Remote Access VPN. Використовують для створення захищеного каналу між сегментом корпоративної мережі (центральним офісом або філією) і одиночним користувачем, який, працюючи вдома, підключається до корпоративних ресурсів з домашнього комп'ютера або, перебуваючи у відрядженні, підключається до корпоративних ресурсів за допомогою ноутбука.
· Extranet VPN. Використовують для мереж, до яких підключаються «зовнішні» користувачі (наприклад, замовники або клієнти). Рівень довіри до них набагато нижче, ніж до співробітників компанії, тому потрібне забезпечення спеціальних «рубежів» захисту, що запобігають або обмежують доступ останніх до особливо цінної, конфіденційної інформації.
4. За типом протоколу:
Існують реалізації віртуальних приватних мереж під TCP / IP, IPX і AppleTalk. Але на сьогоднішній день спостерігається тенденція до загального переходу на протокол TCP / IP, і абсолютна більшість VPN рішень підтримує саме його.
5. За рівнем мережевого протоколу:
За рівнем мережевого протоколу на основі зіставлення з рівнями еталонної мережевої моделі ISO / OSI.
Говорячи про компоненти, що формують VPN, то можна виділити такі:
Доступність
Поняття доступності відноситься як до часу роботи системи, так і до часу доступу. Користувач не отримує вигоди, якщо він, маючи право доступу до корпоративних серверів цілодобово, не може отримати до них доступ з-за мережевих проблем. Багато мережевих проблем знаходяться за межами вашого контролю і часто навіть поза контролем вашого локального провайдера Інтернету. При використанні VPN на основі framerelay або ATM можна отримати деякі гарантії доступності від провайдера Інтернету, але не від Інтернету.
Контроль
Деякі керівники побоюються порушень безпеки у разі, якщо хтось сторонній здійснює підтримку і керування VPN для компанії. Однак керовані служби VPN особливо цінні для компанії у зв'язку з тим, що деякі провайдери володіють досвідом, ретельним моніторингом і утилітами сигналізації. Незалежно від свого розміру, організація, швидше за все, має тільки одну віртуальну приватну мережу. Можна мати інші точки доступу, але тільки одну корпоративну VPN. Продумайте, скільки коштів потрібно вкласти в підготовку, сертифікацію та обладнання, щоб підготувати персонал ІТ для роботи з технологією VPN і з системою безпеки.
Сумісність
Щоб використовувати технологію VPN – та Інтернет в якості середовища транспортування – архітектура протоколу внутрішньої мережі компанії повинна бути сумісна з рідним для Інтернету протоколом IP. Крім того, протокол повинен бути здатний транслювати мережеві протоколи компанії в шар 3 (мережевий шар) моделі ISO (InternationalStandardsOrganization). При цьому компанія повинна підтримувати IP. При використанні протоколів SNA або IPX не можна з'єднатися безпосередньо з Інтернетом, не перетворивши попередньо SNA або IPX в IP. Багато пристроїв це роблять, наприклад шлюзи, але це ускладнює мережу. Крім того при роботі з Інтернетом необхідно використовувати угоду про адреси, що застосовується в цій мережі (на основі Internet ProtocolAddressingStructure, Структури адресації протоколу Інтернету). Працюючи на Macintosh, слід транслювати адреси машини в дійсні відкриті адреси, які використовуються в Інтернеті.
Безпека
Безпека – це головне в VPN. VPN не є приватною мережею компанії. Сторонні можуть перехоплювати, збирати та аналізувати дані. Проте проблеми безпеки можна вирішити, Безпека охоплює все в VPN – реалізацію процесу шифрування, вибір служб аутентифікації та використання цифрових підписів та уповноважених за сертифікатами. Сюди також відноситься програмне забезпечення, яке реалізує алгоритми шифрування на пристрої VPN. В операційній системі, на основі якої використовується VPN, існують деякі вразливі місця. Безпека відіграє дуже важливу роль у VPN.
Взаємодія
Так як технологія VPN є відносно новою з точки зору реалізації, виникає багато питань, пов'язаних із взаємодією стандартів безпеки, з користувачами і з шифруванням. Існує безліч доступних продуктів, які пропонують обладнання, програмне забезпечення, схеми шифрування і аутентифікації для технології VPN, і дуже важко зробити вибір. Важливо, де саме VPN вбудовується в організацію. Чи потрібно взаємодія між двома кінцевими користувачами або з'єднання VPN між різними ЛВС? Залежно від цього можна визначити постачальників програмного забезпечення і навіть вимоги до системи консалтингу.
Необхідно перевірити сертифікацію. ICSA (International Computer Security Association, Міжнародна асоціація з комп'ютерної безпеки), фірма, що підтверджує безпеку і заснована в 1989 р., сертифікує продукти комп'ютерної безпеки. Її мета полягає в поліпшенні взаємодії цих продуктів. Постачальники надають свої продукти в ICSA для сертифікації. Стандарт Insect (Internet ProtocolSecurity, Безпека протоколу Інтернету), який в майбутньому, швидше за все, стане одним зі стандартів безпеки, сертифікований в ICSA.
Надійність
Коли компанія вирішує встановити продукт VPN провайдера Інтернету, вона знаходиться у владі цього провайдера. Коли мережа компанії відключається, співробітники не мають можливості ані відстежити, ані виправити ситуацію. Вони змушені чекати, поки хтось інший вирішить проблему. За умови великої кількості клієнтів, які можуть мати типовий провайдер Інтернету, може знадобитися багато часу, перш ніж ресурси, необхідні дня рішення проблеми, стануть доступними. Навіть коли проблеми вирішені, деяких замовників неможливо повідомити негайно, що створює додаткову затримку.
Аутентифікація даних і користувача
Аутентифікація VPN складається з аутентифікації даних і користувача. Аутентифікація даних підтверджує, що повідомлення було надіслано у цілісності і до нього не вносилися зміни. Аутентифікація користувача є процесом, що дозволяє користувачеві отримати доступ до мережі. Важливо, щоб у будь-якій технології VPN пропонувалися обидва типи аутентифікації. Щоб зовнішні користувачі змогли отримати доступ до вашої внутрішньої мережі, потрібна попередня безпечна аутентифікація та верифікація користувачів. Щоб надати доступ тільки до служб, необхідним аутентифікованим користувачам, потрібна відповідна верифікація для внутрішнього доступу і авторизації.
Як перешкодити доступу неавторизованим користувачам, якщо у вашій мережі утворилася будь-яка уразлива точка в будь-якій частині вашого обладнання або програмного забезпечення? Як відокремити законних користувачів від незаконних? Криптографія, шифрування та функції хешіруванняроблять можливим відповідний доступ і аутентифікацію.
IPv6
Наступний протокол Інтернету, який розробляється, - це протокол IP версії 6 (IPv6). Разом з ним з'являться нові властивості і нові проблеми. Розмір пакету в IPv6 буде більше, ніж у IPv4. Виникає питання, як будуть ці технології шифрування і інкапсуляція та протоколи тунелювання впливати на мережеві пристрої, яким необхідно розшифрувати/зашифрувати нові пакети більшого розміру? Чи вплине IPv6 несприятливо на мережеву продуктивність чи мережеві пристрої можуть масштабуватися? У відношенні безпеки IPSec вже вмонтував IPv6 в свій стандарт, але в даний час устаткування постачальників розрізняється в підтримці IPv4, IPv6 і IPSec. Через рік-два має відбутися об'єднання протоколів безпеки. Це питання слід вирішити при реалізації різних технологій для конкретної корпоративної VPN.
Супровід
Вирішіть, яка технологія та підтримка потрібні вашій компанії, використовувати керовану провайдером Інтернету службу VPN або застосовувати власну VPN за допомогою ресурсів вашої компанії. У другому випадку потрібен персонал, що відповідає за питання безпеки.
Висновки до розділу 1
Підводячи підсумки з визначення віртуальної захисної мережі та даного розділу, можна прийти до висновку, що:
VPN (VirtualPrivateNetwork - віртуальна приватна мережа) - узагальнена назва технологій, що дозволяють забезпечити одне або кілька мережевих з'єднань (логічну мережу) поверх іншої мережі (наприклад, Інтернет). Незважаючи на те, що комунікації здійснюються по мережах з меншим невідомим рівнем довіри (наприклад, з публічних мережам), рівень довіри до побудованої логічної мережі не залежить від рівня довіри до базових мереж завдяки використанню засобів криптографії (шифрування, аутентифікація, інфраструктури публічних ключів, засобам для захисту від повторів і зміни переданих по логічної мережі повідомлень).
VPN складається з комп'ютерного обладнання та програмного забезпечення. Також потрібні деякі компоненти, тобто вимоги, що гарантують, що дана VPN є безпечною, доступною і легко підтримується. Реальні вимоги входять в діапазон атрибутів, які необхідно розглядати при реалізації або проектуванні VPN. Ці компоненти є необхідними, незалежно від того, чи надає послуги VPN провайдер Інтернету або мережа створюється самостійно.
Розділ 2. Технологія віртуальних захисних мереж як інструменту захисту інформації у комп’ютерних мережах.
2.1 Концепція побудови захищених віртуальних приватних мереж.
У основі концепції побудови захищених віртуальних приватних мереж – VPN лежить достатньо проста ідея: якщо в глобальній мережі є два вузли, які хочуть обмінятися інформацією, то для забезпечення конфіденційності і цілісності інформації, що передається по відкритих мережах, між ними необхідно побудувати віртуальний тунель, доступ до якого повинен бути надзвичайно утруднений всім можливим активним і пасивним зовнішнім спостерігачам. Термін «віртуальний» вказує на те, що з'єднання між двома вузлами мережі не є постійним (жорстким) і існує тільки під час проходження трафіка по мережі.
Переваги, отримувані компанією при формуванні таких віртуальних тунелів, полягають, перш за все, в значній економії фінансових коштів, оскільки в даній ситуації компанія може відмовитися від побудови або оренди дорогих виділених каналів зв'язку для створення власних intranet/extranet мереж і використати для цього дешеві Internet-канали, надійність і швидкість передачі яких в більшості своїй сьогодні вже не поступаються виділеним лініям. Очевидна економічна ефективність від впровадження VPN-технології активно стимулює підприємства до швидкого її впровадження. Про це, зокрема, свідчать авторитетні західні аналітики.
Захищеною віртуальною мережею VPN називають об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передачі інформації в єдину віртуальну корпоративну мережу, що забезпечує безпеку циркулюючих даних.
При підключенні корпоративної локальної мережі до відкритої мережі виникають загрози безпеки двох основних типів:
несанкцiонований доступ до корпоративних даних в процесі їх передачі по відкритій мережі;
несанкцiонований доступ до внутрішніх ресурсів корпоративної локальної мережі, одержуваний зловмисником в результаті несанкціонованого входу в цю мережу.
Забезпечення безпеки інформаційної взаємодії локальних мереж і окремих комп'ютерів через відкриті мережі, зокрема через Internet, можливе при ефективному рішенні задач захисту:
інформації в процесі її передачі по відкритих каналах зв'язку;
підключених до відкритих каналів зв'язку локальних мереж і окремих комп'ютерів від несанкціонованих дій з боку зовнішнього середовища.
Захист інформаціїв процесі передачі по відкритих каналах зв'язку заснований на виконанні наступних основних функцій[1]:
автентифікації взаємодіючих сторін;
криптографічному закритті (шифруванні) даних, що передаються;
перевірці достовірності і цілісності доставленої інформації.
Для цих функцій характерний взаємозв'язок один з одним. Їх реалізація заснована на використовуванні криптографічних методів захисту інформації, ефективність якої забезпечується за рахунок сумісного використовування симетричних і асиметричних криптографічних систем.
Для захисту локальних мереж і окремих комп'ютерів від несанкціонованих дій з боку зовнішнього середовища звичайно використовують мережеві екрани (МЕ), що підтримують безпеку інформаційної взаємодії шляхом фільтрації двостороннього потоку повідомлень, а також виконанні функцій посередництва при обміні інформацією. МЕ розташовують на стику між локальною і відкритою мережею. Для захисту окремого видаленого комп'ютера, підключеного до відкритої мережі, програмне забезпечення МЕ встановлюють па цьому ж комп'ютері, і такий МЕ називається персональним.
Віртуальна приватна мережа VPN формується на основі каналів зв'язку відкритої мережі. Відкрите зовнішнє середовище передачі інформації можна розділити на середовище швидкісної передачі даних, для якого використовується мережа Internet, і повільніші загальнодоступні канали зв'язку, для яких звичайно застосовуються канали телефонної мережі. Ефективність віртуальної приватної мережі VPN визначається ступенем захищеності інформації, циркулюючої по відкритих каналах зв'язку.
Захист інформації в процесі її передачі по відкритих каналах заснований на побудові захищених віртуальних каналів зв'язку, званих тунелями VPN.
Туннелювання широко використовується для безпечної передачі даних через відкриті мережі. За допомогою цієї методики пакети даних передаються через загальнодоступну мережу як по звичному двоточковому з'єднанню. Між кожною парою «відправник-одержувач даних» встановлюється своєрідний тунель – безпечне логічне з'єднання, що дозволяє інкапсулювати дані одного протоколу в пакети іншого. Суть тунелювання полягає в тому, щоб «упакувати» порцію даних (разом із службовими полями) в новий «конверт». При цьому пакет протоколу нижчого рівня поміщається в полі даних пакету протоколу вищого або такого ж рівня. Слід зазначити, що тунелювання саме по собі не захищає дані від несанкціонованого доступу або спотворення, але забезпечує можливість повного криптографічного захисту початкових пакетів, що інкапсулюються.
Щоб забезпечити конфіденційність переданих даних, відправник шифрує початкові пакети, упаковує їх в зовнішній пакет з новим IP-заголовком і відправляє по транзитній мережі.
Особливість тунелювання полягає у тому, що ця технологія дозволяє зашифрувати початковий пакет повністю, разом із заголовком, а не тільки його поле даних. Це важливо, оскільки деякі поля заголовка містять інформацію, яка може бути використана зловмисником. Зокрема, із заголовка початкового пакету можна витягнути відомості про внутрішню структуру мережі – дані про кількість підмереж і вузлів і їх IP-адреси. Зловмисник одержує шанс використовувати таку інформацію при організації атак на корпоративну мережу.
Початковий пакет із зашифрованим заголовком не можна використовувати для організації транспортування по мережі. Тому для захисту початкового пакету застосовують його інкапсуляцію і тунелювання. Початковий пакет зашифровують повністю разом із заголовком, а потім поміщають в інший зовнішній пакет з відкритим заголовком. Для транспортування даних по відкритій мережі використовуються відкриті поля заголовка зовнішнього пакету.
Після прибуття в кінцеву точку захищеного каналу із зовнішнього пакету витягують і розшифровують внутрішній початковий пакет і використовують його відновлений заголовок для подальшої передачі по внутрішній мережі .
Тунелювання може бути використане для забезпечення не тільки конфіденційності вмісту пакету, але і його цілісності і автентичності; при цьому електронний цифровий підпис можна розповсюдити на всі поля пакету[2].
На додаток до приховання мережевої структури між двома точками, туннлювання може також запобігти можливому конфлікту адрес між двома локальними мережами. При створенні локальної мережі, не пов'язаної з Internet, компанія може використовувати будь-які IP-адреси для своїх мережевих пристроїв і комп'ютерів. При об'єднанні раніше ізольованих мереж ці адреси можуть почати конфліктувати один з одним і з адресами, які вже використовуються в Internet.
Інкапсуляція пакетів вирішує подібну проблему, дозволяючи приховати первинні адреси і додати нові, унікальні в просторі IP-адрес Internet, – потім вони використовуються для пересилки даних по мережах, що розділяються. Сюди ж входить задача настройки IP-адреси і інших параметрів для мобільних користувачів, що підключаються до локальної мережі.
Слід зазначити, що сам механізм тунелювання не залежить від того, з якою метою він застосовується. Тунелювання може використовуватися не тільки для забезпечення конфіденційності і цілісності всієї порції даних, що передається, але і для організації переходу між мережами з різними протоколами. Тунелювання дозволяє організувати передачу пакетів одного протоколу в логічному середовищі, що використовує інший протокол. В результаті з'являється можливість розв'язати проблеми взаємодії декількох різнотипних мереж, починаючи з необхідності забезпечення цілісності і конфіденційності даних, що передаються, і закінчуючи подоланням невідповідностей зовнішніх протоколів або схем адресації.
Реалізацію механізму тунелювання можна представити як результат роботи протоколів трьох типів: протоколу-«пасажиру», несучого протоколу і протоколу тунелювання. Наприклад, як протокол-«пассажир» може бути використаний транспортний протокол IPX, що переносить дані в локальних мережах філіалів одного підприємства. Найпоширенішим варіантом несучого протоколу є протокол IP мережі Internet. Як протоколи тунелювання можна використовувати протоколи канального рівня РРТР і L2TP, а також протокол мережевого рівня IPSec.
Згідно концепції віртуальної захищеної мережі, логічна структура корпоративної мережі формується тільки з мережевих пристроїв підприємства, незалежно від фізичної структури основної мережі (наприклад, Internet).
Такі пристрої, як маршрутизатори і перемикачі, приховані від пристроїв і користувачів корпоративної мережі. Приховання інфраструктури Internet від VPN-додатків стає можливим завдяки тунелюванню.
Захищена віртуальна мережа VPN повинна включати засоби запобігання НСД до внутрішніх ресурсів корпоративної локальної мережі і до корпоративних даних, що передаються по відкритій мережі. Звідси витікає, що до засобів VPN може бути віднесений вельми широкий круг пристроїв захисту: маршрутизатор (router) з вбудованими можливостями фільтрації пакетів, proxy-сервер, багатофункціональний МЕ, апаратний і програмний шифратори трафіку, що передається.
Засоби VPN надзвичайно різноманітні. Вони можуть розрізнятися один від одного по багатьох характеристиках:
точки розміщення VPN-пристроїв;
тип платформи, на якій ці засоби працюють;
набір функціональних можливостей;
вживані протоколи автентифікації і алгоритми шифрування.
Конфігурація і характеристики віртуальної приватної мережі багато в чому визначаються типом вживаних VPN-пристроїв. По технічній реалізації розрізняють наступні основні різновиди:
окреме програмне рішення, яке доповнює стандартну операційну систему функціями VPN;
окремий апаратний пристрій на основі спеціалізованої ОС реального часу, що має два або більше мережевих інтерфейсів і апаратну криптографічну підтримку;
засоби VPN, вбудовані в маршрутизатор або комутатор;
розширення МЕ за рахунок додаткових функцій захищеного каналу.
Відомі також комбіновані VPN-пристрої, які включають функції VPN, а також функції маршрутизатора, МЕ і засобу управління пропускною спроможністю.
VPN-пристрої можуть виконувати у віртуальних приватних мережах роль шлюзу безпеки або клієнта.
Шлюз безпеки VPN (securitygateway) – це мережевий пристрій, що підключається до двох мереж, яке виконує функції шифрування і автентифікації для численних хостів позаду нього.
Розміщення шлюзу безпеки VPN виконується так, щоб через нього проходив весь трафік, призначений для внутрішньої корпоративної мережі. Мережеве з'єднання шлюзу VPN прозоре для користувачів позаду шлюзу; воно представляється ним виділеною лінією, хоча насправді прокладається через відкриту мережу з комутацією пакетів. Адреса шлюзу безпеки VPN указується як зовнішня адреса вхідного тунельованого пакету, а внутрішня адреса пакету є адресою конкретного хоста позаду шлюзу.
Шлюз безпеки VPN може бути реалізований у вигляді окремого програмного рішення, окремого апаратного пристрою, а також у вигляді маршрутизатора або МЕ, доповнених функціями VPN.
Клієнт VPN є програмним або програмно-апаратним комплексом, виконуваним звично на базі персонального комп'ютера. Його мережеве програмне забезпечення модифіковане для виконання шифрування і автентифікаціїтрафіку, яким цей пристрій обмінюється з шлюзами VPN або іншими VPN-клієнтами, Через вартісні обмеження реалізація VPN-клієнта звичайно є програмним рішенням, що доповнює стандартну операційну систему – Windows 98/2000 або UNIX.
Тунелі VPN можуть створюватися для різних типів кінцевих користувачів – або це локальна мережа LAN (localareanetwork) з шлюзом безпеки, або окремі комп'ютери видалених і мобільних користувачів. Для створення віртуальної приватної мережі крупного підприємства потрібні як VPN-шлюзи, так і VPN-клієнти. VPN-шлюзи доцільно використовувати для захисту локальних мереж підприємства, а VPN-клієнти використовують для захисту видалених і мобільних користувачів, яким вимагається встановлювати з'єднання з корпоративною мережею через Internet.
2.2Варіанти побудови захищених каналів VPN
Безпеку інформаційного обміну необхідно забезпечувати як у разі об'єднання локальних мереж, так і у разі доступу до локальних мереж видалених або мобільних користувачів. При проектуванні VPN звичайно розглядаються дві основні схеми:
захищений віртуальний канал між локальними мережами (“мережа-мережа”);
захищений віртуальний канал між вузлом і локальною мережею (“користувач-мережа”).
Перша схема з'єднання дозволяє замінити дорогі виділені лінії між окремими офісами і створити постійно доступні захищені канали між ними. В цьому випадку шлюз безпеки служить інтерфейсом між тунелем і локальною мережею; користувачі локальних мереж використовують тунель для спілкування один з одним. Багато компаній використовують даний вигляд VPN як заміну або доповнення до наявних з'єднань глобальної мережі.
Друга схема захищеного каналу VPN призначена для встановлення з'єднань з видаленими або мобільними користувачами. Створення тунелю ініціює клієнт (видалений користувач). Для зв'язку з шлюзом, що захищає видалену мережу, він запускає на своєму комп'ютері спеціальне клієнтське програмне забезпечення. Цей вигляд VPN замінює собою комутовані з'єднання і може застосовуватися разом з традиційними методами видаленого доступу.
Існує ряд варіантів схем захищених віртуальних каналів. У принципі будь-який з двох вузлів віртуальної корпоративної мережі, між якими формується захищений віртуальний канал, може належати кінцевій або проміжній точці потоку повідомлень, що захищається. З погляду забезпечення інформаційної безпеки кращим є варіант, при якому кінцеві точки захищеного тунелю співпадають з кінцевими точками потоку повідомлень, що захищається. В цьому випадку забезпечується захищеність каналу уздовж всього шляху проходження пакетів повідомлень.
Проте такий варіант веде до децентралізації управління і надмірності витрат ресурсів. Необхідна установка засобів створення VPN на кожен клієнтський комп'ютер локальної мережі. Це ускладнює централізоване управління доступом до комп'ютерних ресурсів і не завжди виправдане економічно. Окреме адміністрування кожного клієнтського комп'ютера з метою конфігурації в ньому засобів захисту – достатньо трудомістка процедура у великій мережі.
Якщо усередині локальної мережі, що входить у віртуальну, не потрібен захист трафіку, то як кінцева точка захищеного тунелю слід вибирати МЕ або прикордонний маршрутизатор цієї локальної мережі. Якщо ж потік повідомлень усередині локальної мережі повинен бути захищений, то як кінцева точка тунелю в даній мережі повинен виступати комп'ютер, який бере участь в захищеній взаємодії. При доступі видаленого користувача до локальної мережі його комп'ютер повинен бути кінцевою точкою захищеного віртуального каналу.
При об'єднанні локальних мереж тунель формується тільки між прикордонними провайдерами Internet або маршрутизаторами (МЕ) локальної мережі. При видаленому доступі до локальної мережі тунель створюється між сервером видаленого доступу провайдера Internet, а також прикордонним провайдером Internet або маршрутизатором (МЕ) локальної мережі.
Побудовані по даному варіанту віртуальні корпоративні мережі володіють хорошою масштабованістю і керованістю. Сформовані захищені тунелі повністю прозорі для клієнтських комп'ютерів і серверів локальної мережі, що входить в таку віртуальну мережу. Програмне забезпечення цих вузлів залишається без змін.
Існуюча мережева інфраструктура корпорації може бути підготовлена до використовування VPN як за допомогою програмного, так і за допомогою апаратного забезпечення.
Важливе значення при побудові захищеної віртуальної мережі VPN має задача забезпечення інформаційної безпеки. Згідно загальноприйнятому визначенню, під безпекою даних розуміють їх конфіденційність, цілісність і доступність. Стосовно задач VPN критерії безпеки можуть бути визначені таким чином:
конфіденційність – гарантія того, що в процесі передачі по захищених каналах VPN дані можуть бути відомі тільки легальним відправнику і одержувачу;
цілісність – гарантія збереження даних, що передаються, під час проходження по захищеному каналу VPN. Будь-які спроби зміни, модифікації, руйнування або створення нових даних будуть знайдені і стануть відомі легальним користувачам;
доступність – гарантія того, що засоби, що виконують функції VPN, постійно доступні легальним користувачам. Доступність засобів VPN є комплексним показником, який залежить від ряду чинників: надійності реалізації, якості обслуговування і ступеня захищеності самого засобу від зовнішніх атак.
Конфіденційність забезпечується за допомогою різних методів і алгоритмів симетричного і асиметричного шифрування. Цілісність даних звичайно досягається за допомогою різних варіантів технології електронного підпису, заснованих на симетричних і асиметричних методах шифрування і односторонніх функціях.
Автентифікація здійснюється на основі багаторазових і одноразових паролів, цифрових сертифікатів, смарт-карт, протоколів строгої автентифікації і забезпечує
29.01.2013 17:01-
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора