полягає в тому, що передається через тунель інформація може бути перехоплена зловмисниками. Якщо вона конфіденційна (номери банківських карток, фінансові звіти, відомості особистого характеру), то цілком реальна загроза її компрометації, що вже саме по собі неприємно. Гірше того, зловмисники мають можливість модифіковані передані через тунель дані так, що одержувач не зможе перевірити їх достовірність. Наслідки можуть бути жахливими. Враховуючи сказане, ми приходимо до висновку, що тунель в чистому вигляді придатний хіба що для деяких типів мережевих комп'ютерних ігор і не може претендувати на більш серйозне застосування. Обидві проблеми вирішуються сучасними засобами криптографічного захисту інформації. Щоб перешкодити внесенню несанкціонованих змін в пакет з даними на шляху його проходження по тунелю, використовується метод електронного цифрового підпису (ЕЦП). Суть методу полягає в тому, що кожен переданий пакет забезпечується додатковим блоком інформації, який виробляється у відповідності з асиметричним криптографічним алгоритмом і унікальний для вмісту пакету і секретного ключа ЕЦП відправника. Цей блок інформації є ЕЦП пакету і дозволяє виконати аутентифікацію даних одержувачем, якому відомий відкритий ключ ЕЦП відправника. Захист переданих через тунель даних від несанкціонованого перегляду досягається шляхом використання сильних алгоритмів шифрування.
3.2 Аутентифікація
Забезпечення безпеки є основною функцією VPN. Всі дані від комп'ютерів-клієнтів проходять через Internet до VPN-сервера. Такий сервер може знаходитися на великому відстані від клієнтського комп'ютера, і дані на шляху до мережі організації проходять через обладнання безлічі провайдерів. Як переконатися, що дані не були прочитані або змінені? Для цього застосовуються різні методи аутентифікації і шифрування.
Для аутентифікації користувачів PPTP може задіяти будь-який з протоколів, застосовуваних для PPP
В· EAP або Extensible Authentication Protocol;
В· MSCHAP або Microsoft Challenge Handshake Authentication Protocol (версії 1 і 2);
В· CHAP або Challenge Handshake Authentication Protocol;
В· SPAP або Shiva Password Authentication Protocol;
В· PAP або Password Authentication Protocol. p> Кращими вважаються протоколи MSCHAP версії 2 і Transport Layer Security (EAP-TLS), оскільки вони забезпечують взаємну аутентифікацію, тобто VPN-сервер і клієнт ідентифікують один одного. У всіх інших протоколах тільки сервер проводить аутентифікацію клієнтів.
Хоча PPTP забезпечує достатню ступінь безпеки, але все ж L2TP поверх IPSec надійніше. L2TP поверх IPSec забезпечує аутентифікацію на рівнях В«користувачВ» й 'комп'ютер', а також виконує аутентифікацію і шифрування даних.
Аутентифікація здійснюється або відритим тестом (clear text password), або за схемою запит/відгук (challenge/response). З прямим текстом все ясно. Клієнт посилає серверу пароль. Сервер порівнює це з еталоном і або забороняє доступ, або говорить В«добро просимо В». Відкрита аутентифікація практично не зустрічається. p> Схема запит/відгук набагато більш просунута. У загальному вигляді вона виглядає так:
В· клієнт посилає серверу запит (request) на аутентифікацію;
В· сервер повертає випадковий відгук (challenge);
В· клієнт знімає зі свого пароля хеш (хешем називається результат хеш-функції, яка перетворює вхідний масив даних довільної довжини в вихідну бітову рядок фіксованої довжини), шифрує їм відгук і передає його серверу;
В· той же саме проробляє і сервер, порівнюючи отриманий результат з відповіддю клієнта;
В· якщо зашифрований відгук збігається, аутентифікація вважається успішною;
На першому етапі аутентифікації клієнтів і серверів VPN, L2TP поверх IPSec використовує локальні сертифікати, отримані від служби сертифікації. Клієнт і сервер обмінюються сертифікатами і створюють захищене з'єднання ESP SA (security association). Після того як L2TP (Поверх IPSec) завершує процес аутентифікації комп'ютера, виконується аутентифікація на рівні користувача. Для аутентифікації можна задіяти будь-який протокол, навіть PAP, що передає ім'я користувача та пароль у відкритому вигляді. Це цілком безпечно, так як L2TP поверх IPSec шифрує всю сесію. Однак проведення аутентифікації користувача за допомогою MSCHAP, що застосовує різні ключі шифрування для аутентифікації комп'ютера і користувача, може посилити захист.
3.3. Шифрування
Шифрування з допомогою PPTP гарантує, що ніхто не зможе отримати доступ до даних при пересиланні через Internet. В даний час підтримуються два методи шифрування:
В· Протокол шифрування MPPE або Microsoft Point-to-Point Encryption сумісний тільки з MSCHAP (версії 1 і 2);
В· EAP-TLS і вміє автоматично вибирати довжину ключа шифрування при узгодженні параметрів між клієнтом і сервером.
MPPE підтримує роботу з ...
