Московский государственный технический университет им. Н.Э. Баумана
Опубликован: 20.09.2007 | Доступ: свободный | Студентов: 10861 / 3192 | Оценка: 4.57 / 4.34 | Длительность: 15:36:00
ISBN: 978-5-94774-737-9
Лекция 10:

Технологии целостности и конфиденциальности передаваемых данных

< Лекция 9 || Лекция 10: 123 || Лекция 11 >
Аннотация: Наиболее современные методы позволяют организовывать так называемые VPN, т.е. пользоваться общедоступной телекоммуникационной инфраструктурой для предоставления удаленным офисам или отдельным пользователям безопасного доступа к сети организации. Существует много способов классификации VPN, но в лекции подробно освещены три самые основные и часто встречающиеся. Выбор туннельного протокола VPN – важная задача на этапе проектирования виртуальной частной сети. Системы обнаружения вторжений очень сложны и включают множество элементов. Разобраться в архитектуре данных систем помогает доступность материала лекции.

Развертывание беспроводных виртуальных сетей

Виртуальная частная сеть (Virtual Private Network - VPN) - это метод, позволяющий воспользоваться общедоступной телекоммуникационной инфраструктурой, например Internet, для предоставления удаленным офисам или отдельным пользователям безопасного доступа к сети организации. Поскольку беспроводные сети 802.11 работают в нелицензируемом диапазоне частот и доступны для прослушивания, именно в них развертывание и обслуживание VPN приобретает особую важность, если необходимо обеспечить высокий уровень защиты информации.

Защищать нужно как соединения между хостами в беспроводной локальной сети, так и двухточечные каналы между беспроводными мостами. Для обеспечения безопасности особо секретных данных нельзя полагаться на какой-то один механизм или на защиту лишь одного уровня сети. В случае двухточечных каналов проще и экономичнее развернуть VPN, покрывающую две сети, чем реализовывать защиту на базе стандарта 802.11i, включающую RADIUS-сервер и базу данных о пользователях.

Пользоваться же реализацией стандарта на базе предварительно разделенных ключей (PSK) и протокола 802.1x при наличии высокоскоростного канала между сетями - не самый безопасный метод. VPN - это полная противоположность дорогостоящей системе собственных или арендованных линий, которые могут использоваться только одной организацией. Задача VPN - предоставить организации те же возможности, но за гораздо меньшие деньги. Сравните это с обеспечением связи за счет двухточечных беспроводных каналов с мостами вместо дорогих выделенных линий.

VPN и беспроводные технологии не конкурируют, а дополняют друг друга. VPN работает поверх разделяемых сетей общего пользования, обеспечивая в то же время конфиденциальность за счет специальных мер безопасности и применения туннельных протоколов, таких как туннельный протокол на канальном уровне (Layer Two Tunneling Protocol - L2TP). Смысл их в том, что, осуществляя шифрование данных на отправляющем конце и дешифрирование на принимающем, протокол организует "туннель", в который не могут проникнуть данные, не зашифрованные должным образом. Дополнительную безопасность может обеспечить шифрование не только самих данных, но и сетевых адресов отправителя и получателя. Беспроводную локальную сеть можно сравнить с разделяемой сетью общего пользования, а в некоторых случаях (хот-споты, узлы, принадлежащие сообществам) она таковой и является.

VPN отвечает трем условиям: конфиденциальность, целостность и доступность. Следует отметить, что никакая VPN не является устойчивой к DoS- или DDoS-атакам и не может гарантировать доступность на физическом уровне просто в силу своей виртуальной природы и зависимости от нижележащих протоколов.

Две наиболее важные особенности VPN, особенно в беспроводных средах, где имеется лишь ограниченный контроль над распространением сигнала, - это целостность и, что еще более существенно, конфиденциальность данных. Возьмем жизненную ситуацию, когда злоумышленнику удалось преодолеть шифрование по протоколу WEP и присоединиться к беспроводной локальной сети. Если VPN отсутствует, то он сможет прослушивать данные и вмешиваться в работу сети. Но если пакеты аутентифицированы, атака "человек посередине" становится практически невозможной, хотя перехватить данные по-прежнему легко. Включение в VPN элемента шифрования уменьшает негативные последствия перехвата данных. VPN обеспечивает не столько полную изоляцию всех сетевых взаимодействий, сколько осуществление таких взаимодействий в более контролируемых условиях с четко определенными группами допущенных участников.

Есть много способов классификации VPN, но основные три вида - это "сеть-сеть", "хост-сеть" и "хост-хост".

Топология "сеть-сеть"

Этим термином иногда описывают VPN-туннель между двумя географически разнесенными частными сетями ( рис. 10.1).

Топология "сеть-сеть"

Рис. 10.1. Топология "сеть-сеть"

VPN такого типа обычно применяются, когда нужно объединить локальные сети с помощью сети общего пользования так, как будто они находятся внутри одного здания.

Основное достоинство такой конфигурации состоит в том, что сети выглядят как смежные, а работа VPN-шлюзов прозрачна для пользователей. В этом случае также важно туннелирование, поскольку в частных сетях обычно используются описанные в RFC 1918 зарезервированные адреса, которые не могут маршрутизироваться через Internet. Поэтому для успешного взаимодействия трафик необходимо инкапсулировать в туннель.

Типичным примером такой сети может быть соединение двух филиалов одной организации по двухточечному беспроводному каналу. Хотя трафик и не выходит за пределы внутренней инфраструктуры организации, к ее беспроводной части нужно относиться так же внимательно, как если бы трафик маршрутизировался через сеть общего пользования. Вы уже видели, что протокол WEP можно легко преодолеть и даже TKIP иногда уязвим, поэтому мы настоятельно рекомендуем всюду, где возможно, реализовывать дополнительное шифрование.

Топология "хост-сеть"

При такой конфигурации удаленные пользователи подключаются к корпоративной сети через Internet.

Сначала мобильный клиент устанавливает соединение с Internet, а затем инициирует запрос на организацию зашифрованного туннеля с корпоративным VPN-шлюзом. После успешной аутентификации создается туннель поверх сети общего пользования, и клиент становится просто еще одной машиной во внутренней сети. Все более широкое распространение надомной работы стимулирует интерес к такому применению VPN.

В отличие от VPN типа "сеть-сеть", где число участников невелико и более или менее предсказуемо, VPN типа "хост-сеть" легко может вырасти до необъятных размеров. Поэтому системный администратор должен заранее продумать масштабируемый механизм аутентификации клиентов и управления ключами.

Топология "хост-хост"

Такая топология, по-видимому, встречается реже всего. Речь идет о двух хостах, обменивающихся друг с другом шифрованными и нешифрованными данными. В такой конфигурации туннель организуется между двумя хостами и весь трафик между ними инкапсулируется внутри VPN. У таких сетей не много практических применений, но в качестве примера можно назвать географически удаленный сервер резервного хранения. Оба хоста подключены к Internet, и данные с центрального сервера зеркально копируются на резервный. Например, простые сети VPN типа "хост-хост" можно использовать для защиты одноранговых (Ad Hoc) сетей.

< Лекция 9 || Лекция 10: 123 || Лекция 11 >
Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Бегали Кущбаков
Бегали Кущбаков
Алексей Александров
Алексей Александров
Россия