Автор работы: Пользователь скрыл имя, 05 Февраля 2011 в 22:45, курсовая работа
Internet - глобальная компьютерная сеть, охватывающая весь мир. Сегодня Internet имеет около 15 миллионов абонентов в более чем 150 странах мира. Ежемесячно размер сети увеличивается на 7-10%. Internet образует как бы ядро, обеспечивающее связь различных информационных сетей, принадлежащих различным учреждениям во всем мире, одна с другой.
Однако, пожалуй, самым лучшим способом обеспечить совместимость можно с помощью методов туннелирования. Эти методы наряду с различной техникой инкапсуляции уже давно используются для передачи по общей магистрали мультипротокольного потока пакетов. В настоящее время эта испытанная технология оптимизирована для Internet–базированных VPN.
Основными компонентами туннеля являются:
Туннелирование должно выполняться на обоих концах сквозного канала. Туннель должен начинаться туннельным инициатором и завершаться туннельным терминатором. Инициализация и завершение туннельных операций может выполняться различными сетевыми устройствами и программным обеспечением. Например, туннель может быть инициирован компьютером удаленного пользователя, на котором установлены модем и необходимое для VPN программное обеспечение, фронтальным маршрутизатором филиала корпорации или концентратором доступа к сети у сервис-провайдера.
Для передачи по Internet пакетов, отличных от IP сетевых протоколов, они со стороны источника инкапсулируются в IP–пакеты. Наиболее часто применяемый метод создания VPN–туннелей заключается в инкапсуляции не IP–пакета в пакет PPP (Point-to-Point Protocol) с последующей инкапсуляцией в IP–пакет. Напомним, что PPP–протокол используется для соединения типа точка-точка, например, для связи клиента с сервером. Процесс IP–инкапсуляции включает добавление стандартного IP–заголовка к оригинальному пакету, который затем рассматривается как полезная информация. Соответствующий процесс на другом конце туннеля удаляет IP–заголовок, оставляя неизменным оригинальный пакет. Протокол PPP обеспечивает сервис на уровне 2 эталонной модели OSI, поэтому такой подход называется туннелирование на уровне 2 (L2 Tunneling Protocol – L2TP). Сегодня довольно широкое распространение получил протокол Point-to-Point Tunneling Protocol, разработанный компаниями 3Com и Microsoft, который поставляется вместе с операционными системами Windows 95 и Windows NT .
Поскольку
технология туннелирования достаточно
проста, она является и наиболее
приемлемой в отношении стоимости.
4.2.
БЕЗОПАСНОСТЬ.
Обеспечение необходимого уровня безопасности часто является основным пунктом при рассмотрении корпорацией возможности использования Internet–базированных VPN. Многие IT–менеджеры привыкли к изначально присущей частным сетям защите конфиденциальной информации и рассматривают Internet как слишком «общедоступную» для использования ее в качестве частной сети. Однако при условии принятия необходимых мер Internet–базированные виртуальные частные сети могут стать более безопасными, чем VPN, базирующиеся на PSTN. Если пользоваться английской терминологией, то существуют три «Р», реализация которых в совокупности обеспечивает полную защиту информации. Это:
Protection - защита ресурсов с помощью брандмауэров (firewall);
Proof - проверка идентичности (целостности) пакета и аутентификация отправителя (подтверждение права на доступ);
Privacy - защита конфиденциальной информации с помощью шифрования.
Все три «Р» в равной степени значимы для любой корпоративной сети, включая и VPN. В сугубо частных сетях для защиты ресурсов и конфиденциальности информации достаточно использования довольно простых паролей. Но как только частная сеть подключается к общедоступной, ни одно из трех «Р» не может обеспечить необходимую защиту. Поэтому для любой VPN во всех точках ее взаимодействия с сетью общего пользования должны быть установлены брандмауэры, а пакеты должны шифроваться и выполняться их аутентификация.
Брандмауэры являются существенным компонентом в любой VPN. Они пропускают только санкционированный трафик для доверенных пользователей и блокируют весь остальной. Иными словами, пересекаются все попытки доступа неизвестных или недоверенных пользователей. Эта форма защиты должна быть обеспечена для каждого сайта и пользователя, поскольку отсутствие ее в каком-либо месте означает отсутствие везде. Для обеспечения безопасности виртуальных частных сетей применяются специальные протоколы. Эти протоколы позволяют хостам «договориться» об используемой технике шифрования и цифровой подписи, что позволяет сохранить конфиденциальность и целостность данных и выполнить аутентификацию пользователя.
Протокол Microsoft Point-to-Point Encryption (MPPE) шифрует PPP–пакеты на машине клиента перед тем, как направить их в туннель. Версия с 40-битовым ключом поставляется с Windows 95 и Windows NT (существует также версия со 128-битовым ключом). Сессия шифрования инициализируется во время установления связи с туннельным терминатором по протоколу PPP.
Протоколы Secure IP (IPSec) являются серией предварительных стандартов, разрабатываемых Группой инженерных проблем Internet (Internet Engineering Task Force - IETF). Группа предложила два протокола: Authentication Header (AH) и Encapsulating Security Payload (ESP). Протокол AH добавляет цифровую подпись к заголовку, с помощью которой выполняется аутентификация пользователя, и обеспечивает целостность данных, отслеживая любые изменения в процессе их передачи. Этот протокол защищает только данные, оставляя адресную часть IP–пакета неизменной. Протокол ESP, напротив, может шифровать либо весь пакет (Tunnel Mode), либо только данные (Transport Mode). Эти протоколы используются как раздельно, так и в комбинации.
Для управления безопасностью применяют индустриальный стандарт RADIUS (Remote Authentication Dial-In User Service), представляющий собой базу данных пользовательских профилей, которые содержат пароли (аутентификация) и права доступа (авторизация).
Средства
обеспечения безопасности далеко не
ограничиваются приведенными примерами.
Многие производители маршрутизаторов
и брандмауэров предлагают свои решения.
Среди них – Ascend, CheckPoint и Cisco.
4.3. ДОСТУПНОСТЬ.
Доступность
включает три в равной степени
важные составляющие: время предоставления
услуг, пропускную способность и
время задержки. Время предоставления
услуг является предметом договора
с сервис-провайдером, а остальные две
составляющие относятся к элементам качества
услуг (Quality of Service - QoS). Современные технологии
транспорта позволяют построить VPN, удовлетворяющие
требованиям практически всех существующих
приложений.
4.4. УПРАВЛЯЕМОСТЬ.
Администраторы
сетей всегда хотят иметь возможность
осуществлять сквозное, из конца в конец,
управление корпоративной сетью, включая
и ту часть, которая относится к телекоммуникационной
компании. Оказывается, что VPN предоставляют
в этом плане больше возможностей, чем
обычные частные сети. Типичные частные
сети администрируются «от границы до
границы», т.е. сервис-провайдер управляет
сетью до фронтальных маршрутизаторов
корпоративной сети, в то время как абонент
управляет собственно корпоративной сетью
до устройств доступа к WAN. Технология
VPN позволяет избежать этого своеобразного
разделения «сфер влияний», предоставляя
и провайдеру, и абоненту единую систему
управления сетью в целом, как ее корпоративной
частью, так и сетевой инфраструктурой
общедоступной сети. Администратор сети
предприятия имеет возможность выполнять
мониторинг и реконфигурацию сети, управлять
фронтальными устройствами доступа, определять
состояние сети в режиме реального времени.
4.5. АРХИТЕКТУРА VPN.
Существуют три модели архитектуры виртуальных частных сетей: зависимая, независимая и гибридная как комбинация первых двух альтернатив. Принадлежность к той или иной модели определяется тем, где реализуются четыре основных требования, предъявляемых к VPN. Если провайдер сетевых глобальных услуг предоставляет полное решение для VPN, т.е. обеспечивает туннелирование, безопасность, производительность и управление, то это делает архитектуру зависимой от него. В этом случае все процессы в VPN для пользователя прозрачны, и он видит только свой нативный трафик – IP-, IPX- или NetBEUI–пакеты. Преимущество зависимой архитектуры для абонента заключается в том, что он может использовать существующую сетевую инфраструктуру «как она есть», добавляя лишь брандмауэр между VPN и частной WAN/LAN.
Независимая архитектура реализуется в том случае, когда организация обеспечивает все технологические требования на своем оборудовании, делегируя сервис-провайдеру лишь транспортные функции. Такая архитектура обходится дороже, однако предоставляет пользователю возможность полного контроля за всеми операциями.
Гибридная архитектура включает зависимые и независимые от организации (соответственно, от сервис-провайдера) сайты.
Какие
же коврижки сулят VPN для корпоративных
пользователей? Прежде всего, по оценкам
индустриальных аналитиков, это снижение
расходов на все виды телекоммуникаций
от 30 до 80 %. А также это практически повсеместный
доступ к сетям корпорации или других
организаций; это реализация безопасных
коммуникаций с поставщиками и заказчиками;
это улучшенный и расширенный сервис,
недостижимый в сетях PSTN, и многое другое.
Специалисты рассматривают виртуальные
частные сети как новую генерацию сетевых
коммуникаций, а многие аналитики считают,
что VPN вскоре заменят большинство частных
сетей, базирующихся на арендуемых линиях.
ЗАКЛЮЧЕНИЕ.
Internet: эволюция философии защиты.
Проблема защиты информации в Internet ставится и, с той или иной степенью эффективности, решается с момента появления сетей на основе протоколов семейства TCP/IP.
В эволюциях технологий защиты можно выделить три основных направления. Первое — разработка стандартов, имплиментирующих в сеть определенные средства защиты, прежде всего административной. Примером являются IP security option и варианты протоколов семейства TCP/IP, используемые в Министерстве обороны США. Второе направление — это культура межсетевых экранов (firewalls), давно применяемых для регулирования доступа к подсетям. Третье, наиболее молодое и активно развивающееся, направление — это так называемые технологии виртуальных защищенных сетей (VPN, virtual private network, или intranet).
Наблюдаемый в последние годы взрывной рост популярности Internet и связанных с ней коммерческих проектов послужил толчком для развития нового поколения технологий защиты информации в TCP/IP-сетях. Причем если ранее, вплоть до начала 90-х, основной задачей защиты в Internet было сохранение ресурсов преимущественно от хакерских атак, то в настоящее время актуальной становится задача защиты коммерческой информации.
Качественно это совершенно разные виды защиты. Атакующая коммерческую информацию сторона может позволить себе большие затраты на взлом защиты и, следовательно, существенно более высокий уровень: наблюдение трафика, перехват информации, ее криптоанализ, а также разного рода имитоатаки, диверсии и мошенничества.
Наивные способы защиты, такие как запрос пароля с последующей передачей его в открытом виде по коммуникационному каналу и списки доступа на серверах и маршрутизаторах, становятся в этих условиях малоэффективными. Что же может быть противопоставлено квалифицированной и технически вооруженной атакующей стороне? Конечно же, только полноценная, криптографически обеспеченная система защиты.
Предложений подобных средств на рынке Internet достаточно много. Однако по ряду параметров ни одно из них не может быть признано адекватным задачам защиты информации именно для Internet. Например, достаточно криптостойкой и замечательной по своей идее формирования «паутины доверия» является распространенная система PGP (Pritty good privacy). Однако, поскольку PGP обеспечивает шифрование файлов, она применима только там, где можно обойтись файловым обменом. Защитить, допустим, приложения on-line при помощи PGP затруднительно. Кроме того, уровень защиты PGP слишком высок. Стыковка защиты PGP с другими прикладными системами потребует определенных усилий, если, конечно, вообще окажется осуществимой.
Выбор технологии защиты информации для большой открытой системы — сети масштаба Internet, крупной корпоративной сети, сети коммуникационного провайдера, должен удовлетворять ряду специфических требований: