Курс лекций «Проблемы безопасности в информационных технологиях»



жүктеу 4.51 Mb.
бет27/44
Дата13.09.2017
өлшемі4.51 Mb.
түріКурс лекций
1   ...   23   24   25   26   27   28   29   30   ...   44

Виртуальные приватные сети (VPN)


В основе концепции VPN лежит простая идея: если в глобальной сети есть два узла, которым требуется безопасно обмениваться информацией, то между этими двумя узлами необходимо построить виртуальный защищённый туннель, обеспечивающий конфиденциальность и целостность обмена через открытые сети.

Защита информации в процессе её передачи по туннелю VPN основана:




  • на аутентификации взаимодействующих сторон;

  • криптографическом закрытии (шифровании) передаваемых данных;

  • проверке подлинности и целостности доставляемой информации.





Рис.84 Схема виртуального защищённого туннеля
VPN можно классифицировать по разным критериям. Наиболее часто используются:


  • «рабочий» уровень эталонной модели OSI;

  • архитектура технического решения VPN;

  • способ технической реализации VPN.

По признаку «рабочего» уровня модели OSI различают VPN канального уровня, VPN сетевого уровня, VPN сеансового уровня. К первому (канальному типу) относят продукты, базирующиеся на PPTP, L2TP.

К VPN сетевого уровня, по сути выполняющим инкапсуляцию IP-в-IP, относится туннельный режим протокола IPSec и связанный с ним протокол безопасного обмена ключами IKE.


Рис.85 VPN на основе IPSec
Безопасная VPN требует аутентификации и шифрования. ESP обеспечивает шифрование, но сочетание ESP и AH может обеспечить аутентификацию.

Очевидное решение «вставить» ESP «внутрь» уровня AH технически реализуемо, но на практике используется нечасто, в том числе и из-за ограничений AH при работе через NAT. Туннель, сочетающий AH+ESP, не сможет проходить через устройства с NAT. Вместо AH+ESP в туннельной моде используется сочетание ESP+Auth.

ESP-шифрование скрывает от прослушивания даже тип инкапсулированных протоколов — TCP, UDP или ICMP.

VPN представляется в системе как ещё один интерфейс и обработка данных подчиняется обычным правилам маршрутизации.



Рис.86 Традиционная VPN: ESP+Auth в туннельной моде
VPN сеансового уровня (иногда называемый circuit proxy), функционирует над транспортным уровнем. К этой категории можно отнести VPN, основанные на протоколах SSL/TLS.

По архитектуре технического решения можно различить внутрикорпоративные VPN (intranet VPN),




Рис.87 Intranet VPN
VPN с удалённым доступом (remote access),


Рис.88 VPN с удалённым доступом
межкорпоративные VPN (extranet).


Рис.89 Extranet VPN
По способу технической реализации различают VPN на основе маршрутизаторов, межсетевых экранов и программные решения.

Сравнительно недавно компания Microsoft, уже создавшая два жизнеспособных протокола VPN, разработала и предоставила пользователям ещё один – протокол SSTP. SSTP не имеет проблем с межсетевыми экранами (МСЭ) и NAT в отличие от протоколов PPTP и L2TP/IPSec. Для того чтобы PPTP работал через устройство NAT, это устройство должно поддерживать PPTP с помощью т.н. редактора NAT для PPTP. Если такой NAT редактор для PPTP отсутствует на данном устройстве, то PPTP соединения не будут работать.

L2TP/IPSec имеет проблемы с устройствами NAT и МСЭ, поскольку МСЭ необходимо иметь для L2TP порт UDP 1701, открытый для исходящих соединений, IPSec IKE порт, UDP 500 открытый для исходящих соединений, и IPSec NAT порт просмотра-обхода, UDP 4500, открытый для исходящих соединений (порт L2TP не требуется при использовании NAT-T). Такое количество требуемых портов может стать проблемой при подключении в общественных местах, таких как гостиницы, центры конференций, аэропорты и т.д.

Соединения по протоколу SSTP VPN используют SSL, работая по TCP порту 443. Обычно этот порт в МСЭ открыт и, кроме того, SSL не имеет никаких проблем при работе через NAT.

Процесс установления SSTP соединения:


  1. SSTP VPN клиент создает TCP соединение с SSTP VPN шлюзом между случайным TCP портом источником клиента SSTP VPN и TCP портом 443 шлюза SSTP VPN.

  2. SSTP VPN клиент отправляет SSL Client-Hello сообщение, указывая на то, что он хочет создать SSL сеанс с SSTP VPN шлюзом.

  3. SSTP VPN шлюз отправляет сертификат компьютера клиенту SSTP VPN.

  4. Клиент SSTP VPN подтверждает сертификат компьютера, проверяя базу сертификатов Trusted Root Certification Authorities, чтобы убедиться в том, что CA сертификат, подписанный сервером, находится в этой базе. Затем SSTP VPN клиент определяет способ шифрования для SSL сеанса, генерирует ключ SSL сеанса и шифрует его с помощью SSTP VPN публичного ключа шлюза, после чего отправляет зашифрованную форму ключа SSL сеанса на SSTP VPN шлюз.

  5. Шлюз SSTP VPN расшифровывает зашифрованный ключ SSL сеанса с помощью своего личного ключа. Все последующие соединения между SSTP VPN клиентом и SSTP VPN шлюзом будут зашифрованы оговоренным методом шифрования, с использованием ключа SSL сеанса.

  6. SSTP VPN клиент отправляет HTTP через SSL (HTTPS) сообщение запроса на SSTP VPN шлюз.

  7. SSTP VPN клиент сошласовывает SSTP канал с SSTP VPN шлюзом.

  8. SSTP VPN клиент согласовывает PPP соединение с SSTP сервером. Эти переговоры включают аутентификацию мандатов пользователя посредством стандартного PPP метода аутентификации (или EAP аутентификации) и конфигурирование настроек для трафика Интернет протокола четвертой версии (IPv4) или Интернет протокола шестой версии (IPv6).

  9. Клиент SSTP начинает отправку IPv4 или IPv6 трафика через PPP соединение.

На рисунке ниже приведены сравнительные характеристики архитектуры VPN протоколов. SSTP – благодаря наличию дополнительного HTTPS шифрования – помимо своего заголовка, имеет ещё один дополнительный заголовок, что отличает его от двух других VPN протоколов. L2TP и PPTP не имеют заголовков уровня приложений для шифрования соединения.




Рис.90 Архитектура некоторых VPN протоколов
Поддержка SSTP введена в ОС Windows Server 2008 R2 и Windows 7. Повышение устойчивости соединений между сайтами доступно только в связке клиент Windows 7 – сервер Windows 2008 R2.

Многие компании используют для соединения сайтов и офисов VPN-туннели, создаваемые с использованием Интернета и других общедоступных сетей. Одна из проблем, возникающих при использовании существующих VPN-решений — их низкая устойчивость к сбоям в работе оборудования и каналов связи. Если в работе оборудования возникает сбой, VPN-соединение разрывается, что приводит к мгновенному разрыву связи. После этого VPN-туннель необходимо создавать заново. Поддерживаемая Windows Server 2008 R2 функция Agile VPN позволяет создавать VPN-подключения с использованием нескольких сетевых путей между конечными точками VPN-туннеля. В случае сбоя Agile VPN автоматически использует один из оставшихся путей, чтобы обеспечить работу VPN-туннеля, не прерывая связь.



Различные технологии реализации виртуальной частной сети имеют свои преимущества и недостатки. Часть из них перечислена ниже:


  • TLS/SSL

    • Преимущества:

      • Невидим для протоколов более высокого уровня;

      • Популярность использования в Интернет-соединениях и приложениях электронной коммерции;

      • Отсутствие постоянного соединения между сервером и клиентом;

      • Позволяет создать туннель для приложений, использующих TCP/IP, таких как электронная почта, ftp и др.

    • Недостатки:

      • Невозможность использования с протоколами UDP и ICMP;

      • Необходимость отслеживания состояния соединения;

      • Наличие дополнительных требований к программному обеспечению по поддержке TLS.

  • IPSec

    • Преимущества:

      • Безопасность и надежность защиты данных протокола проверена и доказана, протокол принят как Интернет-стандарт;

      • Работа в верхнем слое сетевого протокола и шифрование данных над уровнем сетевого протокола.

    • Недостатки:

      • Сложность реализации;

      • Дополнительные требования к оборудованию сети (маршрутизаторы и т. п.);

      • Существует много различных реализаций, не всегда корректно взаимодействующих друг с другом.

  • SSH

    • Преимущества:

      • Позволяет создать туннель для приложений, использующих TCP/IP, таких как электронная почта, инструменты программирования и т. д.;

      • Слой безопасности невидим для пользователя.

    • Недостатки:

      • Трудность использования в сетях с большим числом шлюзов, таких как маршрутизаторы и МСЭ;

      • Большая нагрузка на внутрисетевой трафик;

      • Невозможность использования с протоколами UDP и ICMP.



Достарыңызбен бөлісу:
1   ...   23   24   25   26   27   28   29   30   ...   44


©kzref.org 2019
әкімшілігінің қараңыз

    Басты бет