Виртуальная частная сеть базируется на трех методах реализации:
· Туннелирование;
· Шифрование;
· Аутентификация.
Туннелирование
Туннелирование обеспечивает передачу данных между двумя точками - окончаниями туннеля - таким образом, что для источника и приемника данных оказывается скрытой вся сетевая инфраструктура, лежащая между ними.
Транспортная среда туннеля, как паром, подхватывает пакеты используемого сетевого протокола у входа в туннель и без изменений доставляет их к выходу. Построения туннеля достаточно для того, чтобы соединить два сетевых узла так, что с точки зрения работающего на них программного обеспечения они выглядят подключенными к одной (локальной) сети. Однако нельзя забывать, что на самом деле «паром» с данными проходит через множество промежуточных узлов (маршрутизаторов) открытой публичной сети.
Такое положение дел таит в себе две проблемы. Первая заключается в том, что передаваемая через туннель информация может быть перехвачена злоумышленниками. Если она конфиденциальна (номера банковских карточек, финансовые отчеты, сведения личного характера), то вполне реальна угроза ее компрометации, что уже само по себе неприятно. Хуже того, злоумышленники имеют возможность модифицировать передаваемые через туннель данные так, что получатель не сможет проверить их достоверность. Последствия могут быть самыми плачевными. Учитывая сказанное, мы приходим к выводу, что туннель в чистом виде пригоден разве что для некоторых типов сетевых компьютерных игр и не может претендовать на более серьезное применение. Обе проблемы решаются современными средствами криптографической защиты информации. Чтобы воспрепятствовать внесению несанкционированных изменений в пакет с данными на пути его следования по туннелю, используется метод электронной цифровой подписи (ЭЦП). Суть метода состоит в том, что каждый передаваемый пакет снабжается дополнительным блоком информации, который вырабатывается в соответствии с асимметричным криптографическим алгоритмом и уникален для содержимого пакета и секретного ключа ЭЦП отправителя. Этот блок информации является ЭЦП пакета и позволяет выполнить аутентификацию данных получателем, которому известен открытый ключ ЭЦП отправителя. Защита передаваемых через туннель данных от несанкционированного просмотра достигается путем использования сильных алгоритмов шифрования.
|
Аутентификация
Обеспечение безопасности является основной функцией VPN. Все данные от компьютеров-клиентов проходят через Internet к VPN-серверу. Такой сервер может находиться на большом расстоянии от клиентского компьютера, и данные на пути к сети организации проходят через оборудование множества провайдеров. Как убедиться, что данные не были прочитаны или изменены? Для этого применяются различные методы аутентификации и шифрования.
Для аутентификации пользователей PPTP может задействовать любой из протоколов, применяемых для PPP
§ Протокол аутентификации по паролю (Password Authentication Protocol — PAP) — аутентификация по протоколу PAP подразумевает отправку имени и пароля пользователя по сети открытым текстом (в незашифрованном виде). Это самый небезопасный протокол аутентификации.
§ Shiva PAP (SPAP) — SPAP это версия протокола PAP, которая часто используется для поддержки клиентов Shiva LANRover. Этот протокол не предоставляет шифрования.
|
§ Challenge Handshake Authentication Protocol (CHAP) — протокол CHAP предоставляет шифрование, но требует хранения пароля пользователя в зашифрованном виде с использованием обратимого шифрования. Отредактировав свойства объекта пользователя в оснастке Active Directory — Пользователи и компьютеры (Active Directory — Users and Computers) можно заставить учетную запись пользователя хранить пароль в обратимой зашифрованной форме. После внесения этого изменения пользователь должен изменить пароль (для сохранения его в обратимой зашифрованной форме) перед регистрацией по протоколу CHAP. Из-за необходимости использования обратимого шифрования не рекомендуется использовать протокол CHAP.
§ Microsoft CHAP (MS-CHAP) — протокол MS-CHAP является более безопасной версией протокола CHAP и не требует использования для хранения пароля обратимого шифрования.
§ MS-CHAP v2 — протокол MS-CHAP v2 является самым безопасным протоколом аутентификации от компании Microsoft.
§ Расширяемый протокол аутентификации (Extensible Authentication Protocol — EAP) — EAP это протокол аутентификации, который широко используется для проверки данных пользователя при регистрации с помощью смарт-карт.
Лучшими считаются протоколы MSCHAP версии 2 и Transport Layer Security (EAP-TLS), поскольку они обеспечивают взаимную аутентификацию, т.е. VPN-сервер и клиент идентифицируют друг друга. Во всех остальных протоколах только сервер проводит аутентификацию клиентов.
Хотя PPTP обеспечивает достаточную степень безопасности, но все же L2TP поверх IPSec надежнее. L2TP поверх IPSec обеспечивает аутентификацию на уровнях «пользователь» и 'компьютер', а также выполняет аутентификацию и шифрование данных.
|
Аутентификация осуществляется либо отрытым тестом (clear text password), либо по схеме запрос / отклик (challenge/response). С прямым текстом все ясно. Клиент посылает серверу пароль. Сервер сравнивает это с эталоном и либо запрещает доступ, либо говорит «добро пожаловать». Открытая аутентификация практически не встречается.
Схема запрос / отклик намного более продвинута. В общем виде она выглядит так:
· клиент посылает серверу запрос (request) на аутентификацию;
· сервер возвращает случайный отклик (challenge);
· клиент снимает со своего пароля хеш (хешем называется результат хеш-функции, которая преобразовывает входной массив данных произвольной длины в выходную битовую строку фиксированной длины), шифрует им отклик и передает его серверу;
· то же самое проделывает и сервер, сравнивая полученный результат с ответом клиента;
· если зашифрованный отклик совпадает, аутентификация считается успешной;
На первом этапе аутентификации клиентов и серверов VPN, L2TP поверх IPSec использует локальные сертификаты, полученные от службы сертификации. Клиент и сервер обмениваются сертификатами и создают защищенное соединение ESP SA (security association). После того как L2TP (поверх IPSec) завершает процесс аутентификации компьютера, выполняется аутентификация на уровне пользователя. Для аутентификации можно задействовать любой протокол, даже PAP, передающий имя пользователя и пароль в открытом виде. Это вполне безопасно, так как L2TP поверх IPSec шифрует всю сессию. Однако проведение аутентификации пользователя при помощи MSCHAP, применяющего различные ключи шифрования для аутентификации компьютера и пользователя, может усилить защиту.
3.3. Шифрование с помощью PPTP гарантирует, что никто не сможет получить доступ к данным при пересылке через Internet. В настоящее время поддерживаются два метода шифрования:
· Протокол шифрования MPPE или Microsoft Point-to-Point Encryption совместим только с MSCHAP (версии 1 и 2);
· EAP-TLS и умеет автоматически выбирать длину ключа шифрования при согласовании параметров между клиентом и сервером.
MPPE поддерживает работу с ключами длиной 40, 56 или 128 бит. Старые операционные системы Windows поддерживают шифрование с длиной ключа только 40 бит, поэтому в смешанной среде Windows следует выбирать минимальную длину ключа.
PPTP изменяет значение ключа шифрации после каждого принятого пакета. Протокол MMPE разрабатывался для каналов связи точка-точка, в которых пакеты передаются последовательно, и потеря данных очень мала. В этой ситуации значение ключа для очередного пакета зависит от результатов дешифрации предыдущего пакета. При построении виртуальных сетей через сети общего доступа эти условия соблюдать невозможно, так как пакеты данных часто приходят к получателю не в той последовательности, в какой были отправлены. Поэтому PPTP использует для изменения ключа шифрования порядковые номера пакетов. Это позволяет выполнять дешифрацию независимо от предыдущих принятых пакетов.
Оба протокола реализованы как в Microsoft Windows, так и вне ее (например, в BSD), на алгоритмы работы VPN могут существенно отличаться. В NT (и производных от нее системах). Основные сведения приведены в таблице. [Приложение 6]
Таким образом, связка «туннелирование + аутентификация + шифрование» позволяет передавать данные между двумя точками через сеть общего пользования, моделируя работу частной (локальной) сети. Иными словами, рассмотренные средства позволяют построить виртуальную частную сеть.
Дополнительным приятным эффектом VPN-соединения является возможность (и даже необходимость) использования системы адресации, принятой в локальной сети.
Реализация виртуальной частной сети на практике выглядит следующим образом. В локальной вычислительной сети офиса фирмы устанавливается сервер VPN. Удаленный пользователь (или маршрутизатор, если осуществляется соединение двух офисов) с использованием клиентского программного обеспечения VPN инициирует процедуру соединения с сервером. Происходит аутентификация пользователя - первая фаза установления VPN-соединения. В случае подтверждения полномочий наступает вторая фаза - между клиентом и сервером выполняется согласование деталей обеспечения безопасности соединения. После этого организуется VPN-соединение, обеспечивающее обмен информацией между клиентом и сервером в форме, когда каждый пакет с данными проходит через процедуры шифрования / дешифрования и проверки целостности - аутентификации данных.
Основной проблемой сетей VPN является отсутствие устоявшихся стандартов аутентификации и обмена шифрованной информацией. Эти стандарты все еще находятся в процессе разработки и потому продукты различных производителей не могут устанавливать VPN-соединения и автоматически обмениваться ключами. Данная проблема влечет за собой замедление распространения VPN, так как трудно заставить различные компании пользоваться продукцией одного производителя, а потому затруднен процесс объединения сетей компаний-партнеров в, так называемые, extranet-сети.
Контрольные вопросы
· Что такое VPN? Представте наглядно (в виде рисунка).
· При решение каких задач используют VPN?
· Что такое туннель?
· Какие основные компонентами туннеля Вы знаете?
· По каким критериям можно классифицировать VPN решения?
· Представте наглядно (в виде рисунка) Remote Access, Intranet и Extranet VPN.
· По какому принципу можно строить VPN?
· Какие протоколы канального уровня используются только для оборудования Cisco?
· Какой все же протокол канального уровня L2TP или РРТР лучше использовать?
· Объясните, в чем заключается метод защищенной передачи данных с использованием IPSec?
· Каким образом реализован метод защищенной передачи данных с использованием IPSec?
· Объясните назначение протокола ESP.
· Объясните назначение и принцип работы транспортного туннельного режима работы IPSec:
· Опишите функции IКЕ.
· Опишите функции SSL.
· Какие виды аутентификации пользователей можно задействовать? Какие более безопаснее?
Практическое задание
Нарисовать, выбрать и обозначить протоколы, виды построения, способы и методы реализации VPN проведя анализ по варианту (варианты раздаются преподавателем):
№ 1 Сеть по назначению Remote Access
Тип доступа необходимый для пользователей сети VPN – полнофункциональное постоянное подключение к корпоративной сети
·Является ли пользователь сотрудником компании –пользователь является сотрудником компании
Уровень безопасности корпоративной сети –. высокий.
· Уровень безопасности данных передаваемых пользователем – высокий
В будующем важнее – быстрое развертывание сети VPN с минимальными затратами
№ 2 Сеть по назначению Intranet
Тип доступа необходимый для пользователей сети VPN – временное подключение
·Является ли пользователь сотрудником компании – пользователь является сотрудником компании
Уровень безопасности корпоративной сети – в зависимости от услуги - от среднего до высокого.
· Уровень безопасности данных передаваемых пользователем – средний
В будующем важнее – масштабируемость сети VPN
№ 3 Сеть по назначению Extranet VPN
Тип доступа необходимый для пользователей сети VPN – полнофункциональное постоянное подключение к корпоративной сети
·Является ли пользователь сотрудником компании – пользователь не является сотрудником компании
Уровень безопасности корпоративной сети – средний.
Уровень безопасности данных передаваемых пользователем – от среднего до высокого
В будующем важнее – быстрое развертывание и масштабируемость.