ся В«з-кінця-в-кінецьВ».
TLS-протокол заснований на Netscape SSL-протоколі версії 3.0 і складається з двох частин - TLS Record Protocol і TLS Handshake Protocol. Різниця між SSL 3.0 і TLS 1.0 незначні. p> SSL/TLS включає в себе три основних фази: 1) Бесіда між сторонами, метою якого є вибір алгоритму шифрування, 2) Обмін ключами на основі криптосистем з відкритим ключем або аутентифікація на основі сертифікатів; 3) Передача даних, шіфруемих за допомогою симетричних алгоритмів шифрування.
В
2.4 Реалізація VPN: IPSec або SSL/TLS?
Найчастіше перед керівниками IT підрозділів стоїть питання: який з протоколів вибрати для побудови корпоративної мережі VPN? Відповідь не очевидна так як кожен з підходів має як плюси, так і мінуси. Постараємося провести аналіз і виявити коли необхідно застосовувати IPSec, а коли SSL/TLS. Як видно з аналізу характеристик цих протоколів вони не є взаємозамінними і можуть функціонувати як окремо, так і паралельно, визначаючи функціональні особливості кожної з реалізованих VPN.
Вибір протоколу для побудови корпоративної мережі VPN можна здійснювати за такими критеріям:
В· Тип доступу необхідний для користувачів мережі VPN.
1. Повнофункціональне постійне підключення до корпоративної мережі. Рекомендований вибір - протокол IPSec. p> 2. Тимчасовий підключення, наприклад, мобільного користувача або користувача використовує публічний комп'ютер, з метою отримання доступу до певних послуг, наприклад, електронною поштою або базі даних. Рекомендований вибір - протокол SSL/TLS, який дозволяє організувати VPN для кожної окремої послуги. p> В· Є Чи користувач співробітником компанії .
1. Якщо користувач є співробітником компанії, пристрій яким він користується для доступу до корпоративної мережі через IPSec VPN може бути налаштоване деяким певним способом.
2. Якщо користувач не є співробітником компанії до корпоративної мережі якої здійснюється доступ, рекомендується використовувати SSL/TLS. Це дозволить обмежити гостьовий доступ тільки певними послугами.
В· Який рівень безпеки корпоративної мережі.
1. Високий. Рекомендований вибір - протокол IPSec. Дійсно, рівень безпеки пропонований IPSec набагато вище рівня безпеки пропонованого протоколом SSL/TLS в силу використання конфигурируемого ПЗ на стороні користувача та шлюзу безпеки на стороні корпоративної мережі.
2. Середній. Рекомендований вибір - протокол SSL/TLS дозволяє здійснювати доступ з будь-яких терміналів.
3. Залежно від послуги - від середнього до високого. Рекомендований вибір - комбінація протоколів IPSec (для послуг вимагають високий рівень безпеки) і SSL/TLS (для послуг вимагають середній рівень безпеки).
В· Рівень безпеки даних переданих користувачем.
1. Високий, наприклад, менеджмент компанії. Рекомендований вибір - протокол IPSec. p> 2. Середній, наприклад, партнер. Рекомендований вибір - протокол SSL/TLS. p> Залежно від послуги - від середнього до високого. Рекомендований вибір - комбінація протоколів IPSec (для послуг вимагають високий рівень безпеки) і SSL/TLS (для послуг вимагають середній рівень безпеки).
В· Що важливіше, швидке розгортання VPN або масштабованість рішення в майбутньому.
1. Швидке розгортання мережі VPN з мінімальними витратами. Рекомендований вибір - протокол SSL/TLS. У цьому випадку немає необхідності реалізації спеціального ПЗ на стороні користувача як у випадку IPSec.
2. Масштабованість мережі VPN - додавання доступу до різних послуг. Рекомендований вибір - протокол IPSec дозволяє здійснення доступу до всіх послуг і ресурсів корпоративної мережі.
3. Швидке розгортання і масштабованість. Рекомендований вибір - комбінація IPSec і SSL/TLS: використання SSL/TLS на першому етапі для здійснення доступу до необхідних послуг з наступним впровадженням IPSec.
В В
3. Методи реалізації VPN мереж
Віртуальна приватна мережа базується на трьох методах реалізації:
В· Туннелирование;
В· Шифрування;
В· Аутентифікація. <В
3.1 Туннелирование
Туннелирование забезпечує передачу даних між двома точками - закінченнями тунелю - таким чином, що для джерела і приймача даних виявляється прихованою вся мережева інфраструктура, що лежить між ними.
Транспортна Середа тунелю, як пором, підхоплює пакети використовуваного мережевого протоколу біля входу в тунель і без змін доставляє їх до виходу. Побудови тунелю достатньо для того, щоб з'єднати два мережевих вузла так, що з точки зору працюючого на них програмного забезпечення вони виглядають підключеними до однієї (Локальної) мережі. Однак не можна забувати, що насправді В«пароюВ» з даними проходить через безліч проміжних вузлів (маршрутизаторів) відкритої публічної мережі.
Таке стан справ таїть в собі дві проблеми. Перша ...
