Методы реализации VPN сетей

Виртуальная личная сеть базируется на 3-х способах реализации:

· Туннелирование;

· Шифрование;

· Аутентификация.

Туннелирование

Туннелирование обеспечивает передачу данных меж 2-мя точками - окончаниями туннеля - таким макаром, что для источника и приемника данных оказывается сокрытой вся сетевая инфраструктура, лежащая меж ними.

Транспортная среда туннеля, как паром, подхватывает пакеты применяемого сетевого протокола у входа в туннель Методы реализации VPN сетей и без конфигураций доставляет их к выходу. Построения туннеля довольно для того, чтоб соединить два сетевых узла так, что исходя из убеждений работающего на их программного обеспечения они смотрятся присоединенными к одной (локальной) сети. Но нельзя забывать, что по сути «паром» с данными проходит через огромное количество промежных узлов (маршрутизаторов) открытой Методы реализации VPN сетей общественной сети.

Такое положение дел таит внутри себя две задачи. 1-ая состоит в том, что передаваемая через туннель информация может быть перехвачена злодеями. Если она секретна (номера банковских карточек, денежные отчеты, сведения личного нрава), то полностью реальна угроза ее компрометации, что уже само по себе неприятно. Ужаснее того Методы реализации VPN сетей, злоумышленники имеют возможность видоизменять передаваемые через туннель данные так, что получатель не сумеет проверить их достоверность. Последствия могут быть самыми плачевными. Беря во внимание произнесенное, мы приходим к выводу, что туннель в чистом виде подходящ разве что для неких типов сетевых компьютерных игр и не может претендовать на более суровое Методы реализации VPN сетей применение. Обе трудности решаются современными средствами криптографической защиты инфы. Чтоб воспрепятствовать внесению несанкционированных конфигураций в пакет с данными на пути его следования по туннелю, употребляется способ электрической цифровой подписи (ЭЦП). Сущность способа заключается в том, что каждый передаваемый пакет снабжается дополнительным блоком инфы, который вырабатывается в Методы реализации VPN сетей согласовании с асимметричным криптографическим методом и уникален для содержимого пакета и секретного ключа ЭЦП отправителя. Этот блок инфы является ЭЦП пакета и позволяет выполнить аутентификацию данных получателем, которому известен открытый ключ ЭЦП отправителя. Защита передаваемых через туннель данных от несанкционированного просмотра достигается методом использования сильных алгоритмов шифрования.

Аутентификация

Обеспечение безопасности Методы реализации VPN сетей является основной функцией VPN. Все данные от компьютеров-клиентов проходят через Internet к VPN-серверу. Таковой сервер может находиться на большенном расстоянии от клиентского компьютера, и данные на пути к сети организации проходят через оборудование огромного количества провайдеров. Как убедиться, что данные не были прочитаны либо изменены? Для этого используются Методы реализации VPN сетей разные способы аутентификации и шифрования.

Для аутентификации юзеров PPTP может использовать хоть какой из протоколов, используемых для PPP

§ Протокол аутентификации по паролю (Password Authentication Protocol — PAP) — аутентификация по протоколу PAP предполагает отправку имени и пароля юзера по сети открытым текстом (в незашифрованном виде). Это самый опасный протокол аутентификации.

§ Shiva PAP (SPAP Методы реализации VPN сетей) — SPAP это версия протокола PAP, которая нередко употребляется для поддержки клиентов Shiva LANRover. Этот протокол не предоставляет шифрования.

§ Challenge Handshake Authentication Protocol (CHAP) — протокол CHAP предоставляет шифрование, но просит хранения пароля юзера в зашифрованном виде с внедрением обратимого шифрования. Отредактировав характеристики объекта юзера в оснастке Active Directory Методы реализации VPN сетей — Юзеры и компы (Active Directory — Users and Computers) можно вынудить учетную запись юзера хранить пароль в обратимой зашифрованной форме. После внесения этого конфигурации юзер должен поменять пароль (для сохранения его в обратимой зашифрованной форме) перед регистрацией по протоколу CHAP. Из-за необходимости использования обратимого шифрования не рекомендуется использовать протокол CHAP Методы реализации VPN сетей.

§ Microsoft CHAP (MS-CHAP) — протокол MS-CHAP является более неопасной версией протокола CHAP и не просит использования для хранения пароля обратимого шифрования.

§ MS-CHAP v2 — протокол MS-CHAP v2 является самым неопасным протоколом аутентификации от компании Microsoft.

§ Расширяемый протокол аутентификации (Extensible Authentication Protocol — EAP) — EAP это протокол аутентификации, который Методы реализации VPN сетей обширно употребляется для проверки данных юзера при регистрации при помощи смарт-карт.

Наилучшими числятся протоколы MSCHAP версии 2 и Transport Layer Security (EAP-TLS), так как они обеспечивают обоюдную аутентификацию, т.е. VPN-сервер и клиент идентифицируют друг дружку. Во всех других протоколах только сервер проводит аутентификацию клиентов.

Хотя PPTP обеспечивает Методы реализации VPN сетей достаточную степень безопасности, но все таки L2TP поверх IPSec надежнее. L2TP поверх IPSec обеспечивает аутентификацию на уровнях «пользователь» и 'компьютер', также делает аутентификацию и шифрование данных.

Аутентификация осуществляется или отрытым тестом (clear text password), или по схеме запрос / отклик (challenge/response). С прямым текстом все ясно Методы реализации VPN сетей. Клиент отправляет серверу пароль. Сервер ассоциирует это с образцом и или воспрещает доступ, или гласит «добро пожаловать». Открытая аутентификация фактически не встречается.

Схема запрос / отклик намного более продвинута. В общем виде она смотрится так:

· клиент отправляет серверу запрос (request) на аутентификацию;

· сервер возвращает случайный отклик (challenge);

· клиент снимает со собственного пароля Методы реализации VPN сетей хеш (хешем именуется итог хеш-функции, которая преобразовывает входной массив данных случайной длины в выходную битовую строчку фиксированной длины), шифрует им отклик и передает его серверу;

· то же самое делает и сервер, сравнивая приобретенный итог с ответом клиента;

· если зашифрованный отклик совпадает, аутентификация считается удачной;

На первом Методы реализации VPN сетей шаге аутентификации клиентов и серверов VPN, L2TP поверх IPSec употребляет локальные сертификаты, приобретенные от службы сертификации. Клиент и сервер обмениваются сертификатами и делают защищенное соединение ESP SA (security association). После того как L2TP (поверх IPSec) завершает процесс аутентификации компьютера, производится аутентификация на уровне юзера. Для аутентификации Методы реализации VPN сетей можно использовать хоть какой протокол, даже PAP, передающий имя юзера и пароль в открытом виде. Это полностью неопасно, потому что L2TP поверх IPSec шифрует всю сессию. Но проведение аутентификации юзера с помощью MSCHAP, применяющего разные ключи шифрования для аутентификации компьютера и юзера, может усилить защиту.

3.3. Шифрование при помощи PPTP гарантирует, что Методы реализации VPN сетей никто не сумеет получить доступ к данным при пересылке через Internet.В текущее время поддерживаются два способа шифрования:

· Протокол шифрования MPPE либо Microsoft Point-to-Point Encryption совместим только с MSCHAP (версии 1 и 2);

· EAP-TLS и умеет автоматом выбирать длину ключа шифрования при согласовании характеристик меж клиентом и Методы реализации VPN сетей сервером.

MPPE поддерживает работу с ключами длиной 40, 56 либо 128 бит. Старенькые операционные системы Windows поддерживают шифрование с длиной ключа только 40 бит, потому в смешанной среде Windows следует выбирать наименьшую длину ключа.

PPTP изменяет значение ключа шифрации после каждого принятого пакета. Протокол MMPE разрабатывался для каналов связи точка-точка Методы реализации VPN сетей, в каких пакеты передаются поочередно, и утрата данных очень мала. В этой ситуации значение ключа для еще одного пакета находится в зависимости от результатов дешифрации предшествующего пакета. При построении виртуальных сетей через сети общего доступа эти условия соблюдать нереально, потому что пакеты данных нередко приходят к получателю не в той последовательности, в Методы реализации VPN сетей какой были высланы. Потому PPTP употребляет для конфигурации ключа шифрования порядковые номера пакетов. Это позволяет делать дешифрацию независимо от прошлых принятых пакетов.

Оба протокола реализованы как в Microsoft Windows, так и вне ее (к примеру, в BSD), на методы работы VPN могут значительно отличаться. В NT (и производных от Методы реализации VPN сетей нее системах). Главные сведения приведены в таблице. [Приложение 6]

Таким макаром, связка «туннелирование + аутентификация + шифрование» позволяет передавать данные меж 2-мя точками через сеть общего использования, моделируя работу личной (локальной) сети. Другими словами, рассмотренные средства позволяют выстроить виртуальную личную сеть.

Дополнительным приятным эффектом VPN-соединения является возможность (и Методы реализации VPN сетей даже необходимость) использования системы адресации, принятой в локальной сети.

Реализация виртуальной личной сети на практике смотрится последующим образом. В локальной вычислительной сети кабинета конторы устанавливается сервер VPN. Удаленный юзер (либо маршрутизатор, если осуществляется соединение 2-ух кабинетов) с внедрением клиентского программного обеспечения VPN инициирует функцию соединения с сервером. Происходит аутентификация юзера - 1-ая Методы реализации VPN сетей фаза установления VPN-соединения. В случае доказательства возможностей наступает 2-ая фаза - меж клиентом и сервером производится согласование деталей обеспечения безопасности соединения. После чего организуется VPN-соединение, обеспечивающее обмен информацией меж клиентом и сервером в форме, когда каждый пакет с данными проходит через процедуры шифрования / дешифрования и проверки целостности - аутентификации данных Методы реализации VPN сетей.

Основной неувязкой сетей VPN является отсутствие закоренелых эталонов аутентификации и обмена шифрованной информацией. Эти эталоны все еще находятся в процессе разработки и поэтому продукты разных производителей не могут устанавливать VPN-соединения и автоматом обмениваться ключами. Данная неувязка тянет за собой замедление распространения VPN, потому что тяжело вынудить разные Методы реализации VPN сетей компании воспользоваться продукцией 1-го производителя, а поэтому затруднен процесс объединения сетей компаний-партнеров в, так именуемые, extranet-сети.

Контрольные вопросы

· Что такое VPN? Представте наглядно (в виде рисунка).

· При решение каких задач употребляют VPN?

· Что такое туннель?

· Какие главные компонентами туннеля Вы понимаете?

· По каким аспектам можно систематизировать Методы реализации VPN сетей VPN решения?

· Представте наглядно (в виде рисунка) Remote Access, Intranet и Extranet VPN.

· По какому принципу можно строить VPN?

· Какие протоколы канального уровня употребляются только для оборудования Cisco?

·Какой все таки протокол канального уровня L2TP либо РРТР лучше использовать?

· Растолкуйте, в чем заключается способ защищенной передачи данных с внедрением Методы реализации VPN сетей IPSec?

· Каким образом реализован способ защищенной передачи данных с внедрением IPSec?

· Растолкуйте предназначение протокола ESP.

· Растолкуйте предназначение и механизм работы транспортного туннельного режима работы IPSec:

· Опишите функции IКЕ.

· Опишите функции SSL.

· Какие виды аутентификации юзеров можно использовать? Какие более безопаснее?

Практическое задание

Нарисовать, избрать и обозначить протоколы, виды построения, методы Методы реализации VPN сетей и способы реализации VPN проведя анализ по варианту (варианты раздаются педагогом):

№ 1 Сеть по предназначению Remote Access

Тип доступа нужный для юзеров сети VPN – полнофункциональное неизменное подключение к корпоративной сети

·Является ли юзер работником компании –юзер является работником компании

Уровень безопасности корпоративной сети – . высочайший.

· Уровень безопасности данных передаваемых юзером – высочайший

В будующем важнее – резвое развертывание Методы реализации VPN сетей сети VPN с наименьшими затратами

№ 2 Сеть по предназначению Intranet

Тип доступа нужный для юзеров сети VPN – временное подключение

·Является ли юзер работником компании –юзер является работником компании

Уровень безопасности корпоративной сети – зависимо от услуги - от среднего до высочайшего.

· Уровень безопасности данных передаваемых юзером – средний

В будующем важнее – масштабируемость сети VPN

№ 3 Сеть по предназначению Extranet VPN

Тип доступа Методы реализации VPN сетей нужный для юзеров сети VPN – полнофункциональное неизменное подключение к корпоративной сети

·Является ли юзер работником компании –юзер не является работником компании

Уровень безопасности корпоративной сети – средний.

Уровень безопасности данных передаваемых юзером – от среднего до высочайшего

В будующем важнее – резвое развертывание и масштабируемость.


metodi-socialno-psihologicheskoj-diagnostiki-problem-semi.html
metodi-socialnogo-vliyaniya-statya.html
metodi-sociologicheskih-issledovanij-referat.html