орення віртуальної підмережі в рамках більшої мережі. Питання забезпечення безпеки стають неактуальними. Прикладами подібних VPN вирішенні є: MPLS і L2TP. Коректніше сказати, що ці протоколи перекладають завдання забезпечення безпеки на інші, наприклад L2TP, як правило, використовується в парі з IPSec.
2. Аналіз протоколів VPN мереж
Мережі VPN будуються з використанням протоколів тунелювання даних через мережу зв'язку загального користування Інтернет, причому протоколи тунелювання забезпечують шифрування даних і здійснюють їх наскрізну передачу між користувачами. Як правило, на сьогоднішній день для побудови мереж VPN використовуються протоколи наступних рівнів:
Канальний рівень
Мережевий рівень
Транспортний рівень.
2.1 Модель OSI
Технологій безпечної передачі даних по загальнодоступній (незахищеною) мережі застосовують узагальнена назва - захищений канал (securechannel). Термін канал підкреслює той факт, що захист даних забезпечується між двома вузлами мережі (хостами або шлюзами) уздовж деякого віртуального шляху, прокладеного в мережі з комутацією пакетів.
Захищений канал можна побудувати за допомогою системних засобів, реалізованих на різних рівнях моделі взаємодії відкритих систем OSI. Рівні протоколів захищеного каналу наведені в таблиці 2.1.
За ознакою робочого рівня моделі OSI розрізняють наступні групи VPN: канального рівня;
VPN мережевого рівня; сеансового рівня.
Таблиця 2.1 Рівні протоколів захищеного каналу
Протоколи захищеного доступаПрікладнойВліяют на приложенияПредставительныйСеансовыйТранспортныйПрозрачны для пріложенійСетевойКанальнийФізіческій
Для незалежності від прикладних протоколів і додатків захищені віртуальні мережі формуються на одному з більш низьких рівнів моделі OSI - канальному, мережевому або сеансовому. Канальному (другому) рівню відповідають такі протоколи реалізації VPN, як РРТР, L2F і L2TP, мережному (третього) рівня - IPSec, SKIP, а сеансовому (п'ятому) рівню - SSL/TLS і SOCKS. Чим нижче рівень еталонної моделі, на якому реалізується захист, тим вона прозоріше для додатків і непомітніше для користувачів. Однак при зниженні цього рівня зменшується набір реалізованих послуг безпеки і стає складніше організація управління. Чим вище захисний рівень відповідно до моделі OSI, тим ширше набір послуг безпеки, надійніше контроль доступу і простіше конфігурування системи захисту. Однак у цьому випадку посилюється залежність від використовуваних протоколів обміну і додатків.
У віртуальній мережі криптозащита може одночасно виконуватися на декількох рівнях еталонної моделі. При цьому збільшується крипостійкість, але через зниження загальної швидкості криптографічних перетворень зменшується пропускна здатність віртуальної мережі. Тому на практиці захищені віртуальні мережі формуються на одному рівні моделі OSI (канальному, мережному, транспортному чи сеансовому).
2.2 Туннелирование на канальному рівні
Для стандартного формування криптозахищені тунелів на канальному рівні моделі OSI компанією Microsoft за підтримки компаній Ascend Communications, 3Com/Primary Access, ECI-Telematics і US Robotics
був розроблений протокол тунелювання РРТР (Point-to-Point Tunnelm Protocol), що представляє собою розширення протоколу РРР (Point-to-Point Protocol). У протоколі РРТР НЕ специфицируются конкретні методи аутентифікації і шифрування. Клієнти віддаленого доступу в Windows NT 4.0 і Windows 98 з Dial-Up Networking поставляються з версією шифрування DES компанії RSA Data Security, що отримала назву шифрування двухточечной зв'язку Microsoft (Microsoft Point-to-Point Encryption - MPPE). Канальному рівню моделі OSI відповідає також протокол тунелювання L2F (Layer - 2 Forwarding), розроблений компанією Cisco Systems за підтримки компаній Shiva і Northern Telecom. У даному протоколі теж не специфицируются конкретні методи аутентифікації і шифрування. На відміну від протоколу РРТР протокол L2F дозволяє використовувати для віддаленого доступу до провайдера Internet не тільки протокол РРР, але й інші протоколи, наприклад, SUP. При формуванні захищених каналів по глобальній мережі провайдерам Internet не потрібно здійснювати конфігурацію адрес і виконувати аутентифікацію. Крім того, для перенесення даних через захищений тунель можуть використовуватися різні мережевий рівень, а не тільки IP, як в протоколі РРТР. Протокол L2F став компонентом операційної системи IOS (Internetwork Operating System) компанії Cisco і підтримується у всіх випущених нею пристро...
