Средства, повышающие безопасность

VPN (Virtual Private Network) – виртуальная частная сеть. Это криптосистема, позволяющая защитить данные при передаче их по незащищенной сети (такой как Internet). Цель VPN – прозрачный доступ к ресурсам сети, где пользователь может делать всё, что он обычно делает независимо от, того на сколько он удален. VPN активно используется для сотрудников, работающих удаленно, и для территориально разделенных филиалов предприятия.

VPN соединения всегда состоят из каналов типа «точка-точка» или «туннель». Соединение «точка-точка» подразумевает, что оно всегда устанавливается между двумя компьютерами или устройствами, которые называются узлами. Каждый узел отвечает за шифрование данных до того, как они попадут в туннель, и дешифрование после того, как они туннель покинут. Хотя VPN туннель всегда устанавливается между двумя точками, каждый узел может устанавливать дополнительные туннели с другими узлами.

Для всех туннелей узел на стороне офиса может быть одним и тем же. Это возможно благодаря тому, что узел может шифровать данные от имени всей сети. В этом случае VPN узел называется VPN шлюзом, а сеть за ним – доменом шифрования. Использование шлюзов удобно т.к. все пользователи должны пройти через одно устройство, что облегчает задачу управления политикой безопасности. Внутри домена шифрования самого шифрования не происходит, т.к. эта часть сети считается безопасной. Это справедливо и при соединении офисов с помощью VPN шлюзов.

VPN ---- VPN

Сеть А ---- шлюз А ---- шлюз В ---- Сеть В

Таким образом, гарантируется шифрование только той информации, которая передается по небезопасному каналу между офисами.

Два VPN шлюза используют режим «туннеля», это означает, что шифруется весь пакет IP, после чего к нему добавляется новый IP-заголовок. IP-заголовок содержит IP-адреса двух VPN-шлюзов, которые увидит пакетный снифер. Снифер – аппаратное или программное средство, считывания данных с порта.

Невозможно определить компьютер-источник в первом домене шифрования и компьютер-получатель во втором домене. Чтобы удаленным пользователям с переносными компьютерами и пользователям, работающим удаленно, иметь доступ к офисной сети необходимо установить ПО VPN-клиент, который обеспечит создание VPN-туннеля VPN-шлюза. Существует много вариантов VPN-шлюзов и VPN-клиентов, это может быть как аппаратное VPN-устройство, так и программное VPN-обеспечение, которое устанавливается на VPN-маршрутизаторах или ПК.

VPN работает по следующему принципу:

1. Каждый из узлов идентифицирует друг друга перед созданием туннеля, чтобы удостовериться, что шифрованные данные будут отправлены на нужный узел.

2. Оба узла требуют заранее настроенную политику, указывающую, какие протоколы могут использоваться для шифрования и обеспечения целостности данных.

3. Узлы сверяют политики, чтобы договориться об используемых алгоритмах. Если это не получается, то туннель не устанавливается.

4. Как только достигнуто соглашения по алгоритмам, создается ключ, который будет использован в симметричном алгоритме для шифрования и дешифрования данных.

Есть несколько стандартов регламентирующих вышеописанное взаимодействия: L2TP, PPTP, IPSec.

IPSec

Разработан для повышения безопасности IP-протокола, что достигается за счёт дополнительных протоколов, добавляющих к IP-пакету собственные заголовки.

AH (Authentication Header) – протокол заголовка и идентификации, обеспечивает целостность путем проверки того, что ни один бит защищаемой части пакета не был изменен во время передачи.

Может вызывать проблемы, например, при прохождении пакета через NAT-устройство, изменяющее IP-адрес пакета. AH разрабатывался только для обеспечения целостности и не гарантирует конфиденциальности путем шифрования содержимого пакеты.

ESP (Encapsulating Security Protocol) – инкапсулирующий протокол безопасности, который обеспечивает и целостность и конфиденциальность. В режиме «туннеля» заголовок ESP располагается между новым IP-заголовком и зашифрованным IP-пакетом. При работе через FireWall важно не забыть настроить фильтры, чтобы пропускать пакеты с ID AH и/или ESP. Для AH ID – 51, ESP – 50. Важно не перепутать ID с номером порта.

IKE (Internet Key Exchange) – протокол, предназначенный для обмена ключами между двумя узлами VPN. Для работы IKE необходимо настроить правила в FireWall ля UDP порта с номером 500.

SA (Security Association) – связь безопасности, это термин IPSec для обозначения соединения. SA создается парами, т.к. каждая SA – это однонаправленное соединение. Полученные SA пары хранятся на каждом узле. Если ваш узел имеет SA, значит, VPN туннель был установлен успешно. Каждый узел способен устанавливать несколько туннелей с другими узлами, каждый SA имеет уникальный номер, позволяющий определить, к какому узлу он относится. Он называется SPI (Security Parameter Index) – индекс параметра безопасности. SA хранятся в базе SAD (SADatabase).

Каждый узел IPSec также имеет вторую базу – SPD (Security Policy Database) – базу данных политики безопасности.

Политика включает в себя следующие настройки:

1. Симметричные алгоритмы для шифрования и дешифрования данных,

2. Криптографические контрольные суммы для проверки целостности данных,

3. Способ идентификации узла (например, предустановленные ключи или RSA сертификаты),

4. Использовать ли режим туннеля или режим транспорта,

5. Какую использовать группу Diffie Hellman,

6. Как часто проводить переидентификацию узла,

7. Как часто менять ключ для шифрования данных,

8. Использовать ли HA, ESP или оба вместе.

Дата добавления: 2015-07-26; просмотров: 200; Нарушение авторских прав

Мы поможем в написании ваших работ!