Реферат: «Виртуальные частные сети». , ГИП 101,Оливер Ибе, «Сети и удаленный доступ»
При обмене данными через незащищенные сети общего пользования безопасное соединение между источником и приемником сообщения обеспечивает виртуальные частные сети (Virtual Private Network - VPN).
Частная сеть представляет собой структуру для обмена данными, которая принадлежит либо контролируется через аренду выделенных линий связи конкретной организацией.
Цель виртуальной сети – обеспечить защищенный режим передачи пользовательских данных через незащищенную сеть (Internet, офисные сети и т. п.)
VNP использует криптографирование данных и другие способы обеспечения безопасности, препятствующие несанкционированному доступу к информации. Кроме того, эти методы направлены на обеспечение гарантий того, что попытка модифицировать данные в процессе передачи по сети будут замечены.
В технологии VPN применяется метод туннелирования для транспортировки шифрованных данных.
Туннелирование - механизм инкапсуляции одного протокола передачи данных в другой.
Например при осуществлении VPN через Интернет под туннелирование понимается возможность инкапсулировать в протокол IP зашифрованные пакеты протоколов IP, IPX, AppleTalk, т. е. VPN туннелирование маскирует исходный протокол сетевого уровня путем кодирования пакета и размещение зашифрованного пакета в IP конверт, который по сути остается IP-пакетом и защищенном режиме передается через Интернет. На приемном конце конверт отбрасывается, а его содержимое декодируется, и переправляется соответствующему устройству доступа, например маршрутизатору.
Построение VPN значительно дешевле и безопаснее построение частной сети. К тому же, сети VPN задают заданный уровень качества обслуживания QoS(приоритет трафика).
В настоящее время существует три типа частных сетей:
1. VPN доступа – обеспечивает удаленных пользователей надежной системой доступа в корпоративную сеть.
2. intranet VPN - позволяет осуществлять защищенное соединение филиала с центральной компанией.(основные компоненты Web, TCP/IP, HTTP)
3. extranet VPN – предоставляет защищенный доступ в корпоративную сеть потребителям, поставщикам и партнерам по бизнесу.(Web, internet, система межсетевых экранов)
Архитектура VPN.
Сеть VPN состоит из четыре: клиента VPN, сервера доступа к сети (Network Access Server - NAS), устройства, находящего в конце туннеля, или сервера VPN и протокола VPN. Для формирования канала виртуальной частной сети удаленный пользователь VPN- клиент инициирует соединение PPP с сервером доступа провайдера через телефонную сеть общего пользования. Сервер доступа к сети – NAS – это устройство на которые поступают вызовы по аналоговым либо цифровым сетям по ISDN. После проверки прав пользователь с помощью соответствующего метода аунтификации NAS направляет пакеты в туннель, который соединяет и его и сервер VPN. Сервер VPN забирает пакеты из туннеля, разворачивает их и доставляет в корпоративную сеть.
Для установки сети VPN применяются четыре типа протоколов.
1. Протокол туннелирования для парного соединения абонентов.(Point-to-Point Tunneling Protocol - PPTP)
Разр. Инкапс. IPX, NetBEUI, IP, разрешает проходить не IP типа, напр. PPP
2. Протокол передачи данных на втором уровне модели OSI (Layer 2 Forwarding – L2F)
Поддерживает IP, IPx, AppleTalk и использует UDP
3. Протокол туннелирования на втором уровне модели OSI (Layer 2 Tunneling – L2TP) использует UDP.
4. Стек IP-протоколов безопасности (IP Security Protocol - IPSec)
Набор протоколов обеспечивает аунтефикацию, конфиденциальность и целостность данных. Используется только в IP сетях.
Выбор алгоритма шифрования.
Существуют следующие типы атак на VPN:
Атаки на криптографические алгоритмы
Атаки на криптографические ключи
Атаки на датчики случайных чисел
Атаки на протоколы VPN
Атаки на протоколы аутентификации
Атаки на реализацию
Атаки на оборудование VPN
Атаки на операционные системы
Атаки на пользователей
Вышеописанные атаки на используемые в настоящее время алгоритмы практически бессильны, что вынуждает злоумышленников проверять все возможные ключи шифрования (атака полным перебором). Поэтому принципиально важным является выбор алгоритма с достаточной длиной ключа. В табл 1 приведен сравнительный анализ времени и средств, затрачиваемых различными классами злоумышленников при полном переборе криптографических ключей, используемых в симметричных алгоритмах (DES, AES, ГОСТ и т. д.). Из этой таблицы следует, что отечественный алгоритм ГОСТ с длиной ключа 256 бит не может быть взломан в обозримом будущем, а зарубежные средства, подпадающие под экспортные ограничения США, ломаются относительно легко.
Этот стандарт представляет собой 64 битовый шифр использующий 256 битовый ключ в виде восмьми 32-бит. Подключа.
Асимметричные алгоритмы используют ключи большей длины, так как атака полным перебором на симметричные алгоритмы требует больших временных затрат, нежели аналогичная атака на криптографию с открытым ключом. В табл. 2 приведено соответствие длин ключей в симметричных и асимметричных алгоритмах для обеспечения сопоставимого уровня безопасности зашифрованных данных..
