апаратних засобів
. 4.3 Класифікація VPN за типом використовуваного середовища
Мережі VPN можна класифікувати за типом використовуваного середовища, а саме:
- захищені VPN мережі. Найбільш поширений варіант приватних приватних мереж. C його допомогою можливо створити надійну і захищену підмережу на основі ненадійною мережі, як правило, Інтернету. Прикладом захищених VPN є: IPSec, OpenVPN і PPTP.
довірчі VPN мережі. Використовуються у випадках, коли передавальну середу можна вважати надійною і необхідно вирішити лише завдання створення віртуальної підмережі в рамках більшої мережі. Питання забезпечення безпеки стають неактуальними. Прикладами подібних VPN вирішенні є: MPLS і L2TP. Коректніше сказати, що ці протоколи перекладають завдання забезпечення безпеки на інші, наприклад L2TP, як правило, використовується в парі з IPSec.
2 .Аналіз ПРОТОКОЛІВ VPN МЕРЕЖ
Мережі VPN будуються з використанням протоколів тунелювання даних через мережу зв'язку загального користування Інтернет, причому протоколи тунелювання забезпечують шифрування даних і здійснюють їх наскрізну передачу між користувачами. Як правило, на сьогоднішній день для побудови мереж VPN використовуються протоколи наступних рівнів:
- Канальний рівень
Мережевий рівень
- Транспортний рівень.
2.1 Модель OSI
Технологій безпечної передачі даних по загальнодоступній (незахищеною) мережі застосовують узагальнена назва - захищений канал (securechannel). Термін «канал» підкреслює той факт, що захист даних забезпечується між двома вузлами мережі (хостами або шлюзами) уздовж деякого віртуального шляху, прокладеного в мережі з комутацією пакетів.
Захищений канал можна побудувати за допомогою системних засобів, реалізованих на різних рівнях моделі взаємодії відкритих систем OSI. Рівні протоколів захищеного каналу наведені в таблиці 2.1.
За ознакою «робочого» рівня моделі OSI розрізняють наступні групи VPN:
- VPN канального рівня;
VPN мережевого рівня;
VPN сеансового рівня.
Таблиця 2.1 Рівні протоколів захищеного каналу
Протоколи захищеного доступаПрікладнойВліяют на приложенияПредставительныйСеансовыйТранспортныйПрозрачны для пріложенійСетевойКанальнийФізіческій
Для незалежності від прикладних протоколів і додатків захищені віртуальні мережі формуються на одному з більш низьких рівнів моделі OSI - канальному, мережевому або сеансовому. Канальному (другому) рівню відповідають такі протоколи реалізації VPN, як РРТР, L2F і L2TP, мережному (третього) рівня - IPSec, SKIP, а сеансовому (п'ятому) рівню - SSL/TLS і SOCKS. Чим нижче рівень еталонної моделі, на якому реалізується захист, тим вона прозоріше для додатків і непомітніше для користувачів. Однак при зниженні цього рівня зменшується набір реалізованих послуг безпеки і стає складніше організація управління. Чим вище захисний рівень відповідно до моделі OSI, тим ширше набір послуг безпеки, надійніше контроль доступу і простіше конфігурування системи захисту. Однак у цьому випадку посилюється залежність від використовуваних протоколів обміну і додатків.
У віртуальній мережі криптозащита може одночасно виконуватися на декількох рівнях еталонної моделі. При цьому збільшується крипостійкість, але через зниження загальної швидкості криптографічних перетворень зменшується пропускна здатність віртуальної мережі. Тому на практиці захищені віртуальні мережі формуються на одному рівні моделі OSI (канальному, мережному, транспортному чи сеансовому).
2.2 Туннелирование на канальному рівні
Для стандартного формування кріптозащішенних тунелів на канальному рівні моделі OSI компанією Microsoft за підтримки компаній Ascend Communications, 3Com/Primary Access, ECI-Telematics і US Robotics
був розроблений протокол тунелювання РРТР (Point-to-Point Tunnelm Protocol), що представляє собою розширення протоколу РРР (Point-to-Point Protocol). У протоколі РРТР НЕ специфицируются конкретні методи аутентифікації і шифрування. Клієнти віддаленого доступу в Windows NT 4.0 і Windows 98 з Dial-Up Networking поставляються з версією шифрування DES компанії RSA Data Security, що отримала назву шифрування двухточечной зв'язку Microsoft (Microsoft Point-to-Point Encryption - MPPE). Канальному рівню моделі OSI відповідає також протокол тунелювання L2F (Layer - 2 Forwarding), розроблений компанією Cisco Systems за підтримки компаній Shiva і Northern Telecom. У даному протоколі теж н...