Professional Documents
Culture Documents
VPN
VPN
МЕРЕЖІ - VPN
ПЛАН
Цілісністьконтролюється використанням
математичних алгоритмів хешування
Важливо підкреслити, що криптографічні механізми
не забезпечують захист цілісності, а лише
дозволяють впевнитись, що цілісність не була
порушена, або, навпаки, виявити порушення
Алгоритми хешування також потребують
значних ресурсів процесора
Це дає підстави реалізовувати виконання цих
алгоритмів в апаратних засобах з використанням
інтегральних схем прикладної орієнтації
АВТЕНТИФІКАЦІЯ ТА ЗАПОБІГАННЯ
ВІДМОВЛЕННЮ ВІД АВТОРСТВА
Переваги:
Виключається найскладніша задачу – адміністрування засобів
утворення захищених тунелів, що встановлені на комп’ютерах (в
тому числі портативних пристроях), з яких здійснюється віддалений
доступ
Підвищена масштабованість і керованість мережі
Прозорість доступу
Аргументація на користь припустимості такого зниження
захищеності:
Саме Інтернет, як і інші мережі з комутацією пакетів, є найбільш
вразливими для дій порушників
Канали телефонної мережі та виділені лінії, які використовуються
між кінцевими вузлами віддаленого доступу і провайдерами, і які в
цьому випадку є незахищеними, не настільки вразливі
Одночасно з економією коштів на адмініструванні кінцевих вузлів
зростають витрати на послуги провайдерів, крім того,
провайдеру при цьому необхідно довіряти
РІВНІ РЕАЛІЗАЦІЇ VPN
Вимагає встановлення:
на комп’ютері віддаленого користувача
клієнта RAS
драйвера PPTP
Алгоритми узгодження
Алгоритми Алгоритми
параметрів й
автентифікації шифрування Середній рівень
керування ключами
Домен інтерпретації
DOI Нижній рівень
ВЕРХНІЙ РІВЕНЬ IPSEC
Протокол автентифікаційного заголовку (Authentication Header, AH)
RFC-4302, IP Authentication Header / S. Kent. – December 2005
Протокол AH передбачає
автентифікацію джерела даних
перевірку їхньої цілісності і справжності після одержання
захист від нав’язування повторних повідомлень
Протокол інкапсулюючого захисту вмісту (Encapsulating Security Payload,
ESP)
RFC-4303, IP Encapsulating Security Payload (ESP) / S. Kent. – December 2005
Протокол ESP крім усіх функцій протоколу AH забезпечує ще й
криптографічне закриття пакетів повідомлень
Протокол узгодження параметрів віртуального каналу й керування
ключами (англ. – Internet Security Association Key Management Protocol,
ISAKMP)
RFC-4306, Internet Key Exchange (IKEv2) Protocol / C. Kaufman, Ed. –
December 2005
Призначений для попереднього узгодження алгоритмів та їхніх параметрів
сторонами, що взаємодіють за протоколами AH та ESP
Забезпечує створення сторонами, що взаємодіють, спільного контексту,
елементи якого в подальшому вони можуть вільно використовувати.
АСОЦІАЦІЇ ЗАХИСТУ (SA)
Автентифіковано
Не зашифровано Зашифровано
Не зашифровано Зашифровано
Оригінальний
Заголовок Заголовок
IP заголовок Дані ESP кінцевик ESP автентифікація
ESP TCP або UDP
(будь-які опції)
Автентифіковано
Оригінальний
Заголовок
IP заголовок AH Дані
TCP або UDP
(будь-які опції)
Режим тунелювання
Автентифіковано
Не зашифровано Зашифровано
Новий Оригінальний
Заголовок Заголовок ESP ESP
IP заголовок IP заголовок Дані
ESP TCP або UDP кінцевик автентифікація
(будь-які опції) (будь-які опції)
Автентифіковано
Новий Оригінальний
Заголовок
IP заголовок AH IP заголовок Дані
TCP або UDP
(будь-які опції) (будь-які опції)
ОБМІН КЛЮЧАМИ