Vpn курсовая работа

Построение безопасных сетей на основе VPN

Содержание

Введение

Глава 1. Теоретическая часть

.1 Уровни реализации, структура, классификация VPN

.2 Построение безопасных сетей на основе VPN

.3 Шифрование

.4 Фильтрация

Глава 2. Практическая часть

.1 Практическая реализация

.2 Проверка

Заключение

Список литературы

Введение

Традиционно основной сферой применения средств криптографической защиты информации были и остаются сети и системы защищенной связи. Современные информационно-телекоммуникационные системы нередко объединяют весьма значительное число абонентов, измеряемое десятками и сотнями тысяч, каждый из которых обладает некоторым количеством криптографических ключей. Нередко количество участников системы заранее не определено: одни из них могут добавляться в систему в процессе ее работы, другие — по разным причинам выбывать из нее. В таких системах вероятность утраты или компрометации ключей, по крайней мере, у части участников становится весьма высокой. Полный и объективный централизованный контроль за всеми пространственно распределенными абонентами сети связи и их ключами становится невозможен. В связи с этим выдвигается задача такого структурирования криптосистемы и такой организации работы с ключами, которая рационально сочетает надежность, криптографическую стойкость, управляемость и практичность системы для абонентов.

VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим или неизвестным уровнем доверия (например, по публичным сетям), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений, передаваемых по логической сети сообщений).

Глава 1. Теоретическая часть

.1 Уровни реализации, структура, классификация VPN

Уровни реализации. Обычно VPN развёртывают на уровнях не выше сетевого, так как применение криптографии на этих уровнях позволяет использовать в неизменном виде транспортные протоколы (такие как TCP, UDP).

Пользователи Microsoft Windows обозначают термином VPN одну из реализаций виртуальной сети — PPTP, причём используемую зачастую не для создания частных сетей.

Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол — IP (такой способ использует реализация PPTP — Point-to-Point Tunneling Protocol) или Ethernet (PPPoE) (хотя и они имеют различия). Технология VPN в последнее время используется не только для создания собственно частных сетей, но и некоторыми провайдерами «последней мили» на постсоветском пространстве для предоставления выхода в Интернет.

При должном уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации. При правильной настройке всех компонентов технология VPN обеспечивает анонимность в Сети.

Структура VPN. VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.

Классификация VPN. Классифицировать VPN решения можно по нескольким основным параметрам: (см. рисунок 1).

По степени защищённости используемой среды:

защищенные — наиболее распространённый вариант виртуальных частных сетей. С его помощью возможно создать надежную и защищённую сеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP.

доверительные — используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Проблемы безопасности становятся неактуальными. Примерами подобных VPN решений являются: Multi-protocol label switching (MPLS) и L2TP (Layer 2 Tunnelling Protocol) (точнее будет сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec).

По способу реализации. В виде специального программно-аппаратного обеспечения. Реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости.

В виде программного решения. Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.

Интегрированное решение. Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

Рисунок 1- Классификация VPN

По типу протокола. Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его. Адресация в нём чаще всего выбирается в соответствии со стандартом RFC5735, из диапазона Приватных сетей TCP/IP.

По уровню сетевого протокола. По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.

По доступу. VPN могут быть как платными, так и бесплатными, со свободным доступом для всех пользователей интернета. Бесплатные VPN критикуют за низкий уровень защищенности данных, подозревают в сборе информации о пользователях и продаже данных злоумышленникам.

.2 Построение безопасных сетей на основе VPN

Предыстория. История зарождения VPN уходит своими корнями далеко в 60-е годы прошлого столетия, когда специалисты инженерно-технического отдела нью-йоркской телефонной компании разработали систему автоматического установления соединений абонентов АТС — Centrex (Central Exchange). Другими словами это не что иное, как виртуальная частная телефонная сеть, т.к. арендовались уже созданные каналы связи, т.е. создавались виртуальные каналы передачи голосовой информации. В настоящее время данная услуга заменяется более продвинутым ее аналогом — IP-Centrex. Соблюдение конфиденциальности было важным аспектом при передаче информации уже достаточно длительное время, приблизительно в 1900 году до н.э. первые попытки криптографии проявляли египтяне, искажая символы сообщений. А в XV веке уже нашей эры математиком Леоном Батистом Альберти была создана первая криптографическая модель. В наше время именно виртуальная частная сеть может обеспечить достаточную надежность передаваемой информации вместе с великолепной гибкостью и расширяемостью системы.versus PN. Организовывая безопасные каналы передачи информации в учреждениях несправедливо не рассмотреть вариант организации полноценной частной сети. Ниже изображен вариант организации частной сети небольшой компанией с 2 филиалами (см. рисунок 2).

Рисунок 2 — Частная сеть компании

Доступ во внешнюю сеть может осуществляться как через центральный офис, так и децентрализовано. Данная организация сети обладает следующими неоспоримыми преимуществами:

·высокая скорость передачи информации, фактически скорость при таком соединении будет равна скорости локальной сети предприятия;

·безопасность, передаваемые данные не попадают в сеть общего пользования;

·за пользование организованной сетью ни кому не надо платить, действительно капитальные вложения будут только на стадии изготовления сети.

Рисунок 3- Организация сети с использованием VPN

В данном случае преимущества, приведенные для частных сетей, оборачиваются недостатками для виртуальных частных сетей, но так ли значительны эти недостатки:

·скорость передачи данных. Провайдеры могут обеспечить достаточно высокоскоростной доступ в Интернет, однако с локальной, проверенной временем 100 Мбит сетью он все равно не сравнится. Но так ли важно каждый день перекачивать сотни мегабайт информации через организованную сеть? Для доступа к локальному сайту предприятия, пересылки электронного письма с документом вполне достаточно скорости, которой могут обеспечить Интернет-провайдеры;

·безопасность передаваемых данных. При организации VPN передаваемая информация попадает во внешнюю сеть, поэтому об организации безопасности придется позаботиться заранее. Но уже сегодня существуют достаточно стойкие к атакам алгоритмы шифрования информации, которые позволяют владельцам передаваемых данных не беспокоиться за безопасность. Подробнее о способах обеспечения безопасности и алгоритмах шифрования чуть ниже;

·за организованную сеть никому не надо платить. Достаточно спорное преимущество, поскольку в противовес дешевизне пользования сетью стоят большие капитальные затраты на ее создание, которые могут оказаться неподъемными для небольшого учреждения. В то же время плата за использование Интернет в наши дни сама по себе достаточно демократичная, а гибкие тарифы позволяю выбрать каждому оптимальный пакет.

Теперь разберемся с наиболее очевидными преимуществами VPN:

·масштабируемость системы: при открытии нового филиала или добавления сотрудника, которому позволено пользоваться удаленным доступом не нужно никаких дополнительных затрат на коммуникации.

·гибкость системы: для VPN не важно, откуда вы осуществляете доступ. Отдельно взятый сотрудник может работать из дома, а может во время чтения почты из корпоративного почтового ящика фирмы пребывать в командировке в абсолютно другом государстве. Также стало возможным использовать так называемые мобильные офисы, где нет привязки к определенной местности.

·из предыдущего вытекает, что для организации своего рабочего места человек географически неограничен, что при использовании частной сети практически невозможно.

Отдельным пунктом можно выделить создание не проводных частных сетей, а беспроводных. При таком подходе можно даже рассмотреть вариант со своим спутником. Однако в этом случае начальные затраты достигают астрономических высот, скорость снижается фактически до скорости пользования всемирной паутиной, а для надежного обеспечения безопасности необходимо применять опять таки шифрование. И в итоге получаем туже виртуальную частную сеть, только с неимоверно высокими начальными затратами и затратами на поддержание в рабочем состоянии всего оборудования. Способы организации В VPN наиболее целесообразно выделить следующие три основных способа:

1.Удаленный доступ отдельно взятых сотрудников к корпоративной сети организации через модем либо общедоступную сеть (см. рисунок 4).

Рисунок 4- Удаленный доступ сотрудников

Организация такой модели виртуальной частной сети предполагает наличие VPN-сервера в центральном офисе, к которому подключаются удаленные клиенты. Удаленные клиенты могут работать на дому, либо, используя переносной компьютер, из любого места планеты, где есть доступ к всемирной паутине. Данный способ организации виртуальной частной сети целесообразно применять в случаях:

·географически не привязанного доступа сотрудников к корпоративной сети организации;

·доступа к Интернету. Часто провайдеры создают для своих клиентов VPN подключения для организации доступа к ресурсам Интернет.

2.Связь в одну общую сеть территориально распределенных филиалов фирмы. Этот способ называется Intranet VPN (см. рисунок 5).

Рисунок 5- Связь в общую сеть филиалов фирмы

При организации такой схемы подключения требуется наличие VPN серверов равное количеству связываемых офисов. Данный способ целесообразно использовать как для обыкновенных филиалов, так и для мобильных офисов, которые будут иметь доступ к ресурсам «материнской» компании, а также без проблем обмениваться данными между собой.

3.Так называемый Extranet VPN, когда через безопасные каналы доступа предоставляется доступ для клиентов организации. Набирает широкое распространение в связи с популярностью электронной коммерции.

В этом случае для удаленных клиентов будут очень урезаны возможности по использованию корпоративной сети, фактически они будут ограничены доступом к тем ресурсам компании, которые необходимы при работе со своими клиентами, например, сайта с коммерческими предложениями, а VPN используется в этом случае для безопасной пересылки конфиденциальных данных. Средства защиты информации — протоколы шифрования Поскольку данные в виртуальных частных сетях передаются через общедоступную сеть, следовательно, они должны быть надежно защищены от посторонних глаз. Для реализации защиты передаваемой информации существует множество протоколов, которые защищают VPN, но все они подразделяются на два вида и работают в паре:

·протоколы, инкапсулирующие данные и формирующие VPN соединение;

·протоколы, шифрующие данные внутри созданного туннеля.

Первый тип протоколов устанавливает туннелированное соединение, а второй тип отвечает непосредственно за шифрование данных. Рассмотрим некоторые стандартные, предлагаемые всемирно признанным мировым лидером в области разработки операционных систем, решения. В качестве стандартного набора предлагается сделать выбор из двух протоколов, точнее будет сказать наборов:

1.PPTP (Point-to-Point Tunneling Protocol) — туннельный протокол «точка-точка», детище Microsoft и является расширением PPP (Point-to-Point Protocol), следовательно, использует его механизмы подлинности, сжатия и шифрования. Протокол PPTP является встроенным в клиент удаленного доступа Windows XP. При стандартном выборе данного протокола компанией Microsoft предлагается использовать метод шифрования MPPE (Microsoft Point-to-Point Encryption). Можно передавать данные без шифрования в открытом виде. Инкапсуляция данных по протоколу PPTP происходит путем добавления заголовка GRE (Generic Routing Encapsulation) и заголовка IP к данным обработанных протоколом PPP.

2.L2TP (Layer Two Tunneling Protocol) — более совершенный протокол, родившийся в результате объединения протоколов PPTP (от Microsoft) и L2F (от Cisco), вобравший в себя все лучшее из этих двух протоколов. Предоставляет более защищенное соединение, нежели первый вариант, шифрование происходит средствами протокола IPSec (IP-security). L2TP является также встроенным в клиент удаленного доступа Windows XP, более того при автоматическом определении типа подключения клиент сначала пытается соединиться с сервером именно по этому протоколу, как являющимся более предпочтительным в плане безопасности.

Инкапсуляция данных происходит путем добавления заголовков L2TP и IPSec к данным обработанным протоколом PPP. Шифрование данных достигается путем применения алгоритма DES (Data Encryption Standard) или 3DES. Именно в последнем случае достигается наибольшая безопасность передаваемых данных, однако в этом случае придется расплачиваться скоростью соединения, а также ресурсами центрального процессора. В вопросе применения протоколов компания Microsoft и Cisco образуют некий симбиоз, судите сами, протокол PPTP — разработка Microsoft, но используется совместно с GRE, а это продукт Cisco, далее более совершенный в плане безопасности протокол L2TP — это ни что иное, как гибрид, вобравший в себя все лучшее PPTP (уже знаем чей) и L2F, да правильно, разработанный Cisco. Возможно именно поэтому VPN, при правильном подходе в организации, считается надежным способом передачи конфиденциальных данных. Рассмотренные здесь примеры протоколов не являются единственными, существует множество альтернативных решений, например, PopTop — Unix реализация PPTP, или FreeSWAN — протокол для установления IPSec соединения под Linux, а также: Vtun, Racoon, ISAKMPD и др.

.3 Шифрование

Безопасность ВЧС значительно повышается, когда шифруются не только пакеты данных, но и пароли. Криптоключи данных, как уже отмечалось, генерируются на основе регистрационных данных пользователя и по каналам связи не передаются. Когда аутентификация завершена и личность пользователя удостоверена, шифрование производится с помощью ключа аутентификации.

Симметричное шифрование (с личным ключом).

В основу симметричного шифрования (его также называют шифрованием с личным ключом или обычным шифрованием) положен секретный ключ, известный только участникам сеанса связи. Отправитель обрабатывает свое сообщение по специальному математическому алгоритму с использованием секретного ключа, преобразуя тем самым его открытый текст в шифрованный. Получатель сообщения с помощью того же самого секретного ключа проводит обратную операцию, после чего получает исходный открытый текст. Примером схемы симметричного шифрования могут служить алгоритмы RSA RC4 (применяемый в протоколе MPPE), DES (Data Encryption Standard — стандарт шифрования данных), IDEA (International Data Encryption Algorithm — международный алгоритм шифрования данных), а также технология шифрования Skipjack, предложенная правительством США для микросхемы Clipper.

Асимметричное шифрование (с открытым ключом).

Для асимметричного шифрования (или шифрования с открытым ключом) каждый пользователь должен иметь два различных ключа. Один из них — секретный (личный) и известен только владельцу, а второй — открытый, который доступен всем. Секретный и открытый ключи составляют пару, взаимосвязь между ними определяется специальным математическим алгоритмом шифрования. При такой схеме один ключ используется для шифрования сообщения, а другой — для его дешифровки. Применение ключей определяется особенностями службы связи. Технологии шифрования с открытым ключом позволяют включать в сообщения цифровые подписи — блоки информации, закрытые с помощью секретного ключа автора сообщения.

При симметричном шифровании отправитель и получатель должны знать общий секретный ключ, поэтому приходится искать пути его предварительной доставки (с соблюдением мер предосторожности) обоим корреспондентам. Избежать такой проблемы помогает асимметричное шифрование. Здесь отправитель шифрует свое сообщение или снабжает его цифровой подписью посредством собственного секретного ключа, а дешифровка производится с помощью открытого ключа, который отправитель может свободно переслать любому своему корреспонденту. Таким образом, при асимметричном шифрование приходится тщательно оберегать только один ключ — секретный.

Структурное и бесструктурное шифрование.

Для правильного выбора схемы шифрования очень важно понять различия между структурным (stateful) и бесструктурным (stateless) шифрованием.

При бесструктурном шифровании каждый одиночный пакет является самодостаточным и содержит всю информацию, необходимую для его дешифрования. Структурное шифрование, напротив, основано на том, что каждый последующий пакет связан с предыдущим (или предыдущими), и успешное дешифрование сообщения возможно лишь в том случае, если у получателя имеется вся последовательность пакетов.

Чтобы правильно выбрать тип шифрования, необходимо найти компромиссное решение, сбалансировав стойкость шифрования и производительности криптосистемы в средах с высоким уровнем потерь (или в сетях, где нарушается последовательность доставки пакетов). Бесструктурное шифрование позволяет дешифровать каждый пакет автономно, без какой-либо связи с предыдущими. По стойкости такой подход уступает структурному шифрованию, где не получив предыдущего пакета, невозможно расшифровать последующий. Однако в последнем случае достаточно одному-единственному пакету затеряться в сети — и дешифрование всех пакетов, следующих за ним, станет невозможным. Это может привести к серьезному снижению производительности в сетях, где велика вероятность потери пакетов или нарушения порядка их доставки.

Механизмы шифрования IPSec обычно опираются на методы бесструктурного шифрования, и тому есть веская причина: в IP-сетях просто невозможно гарантировать надежную пересылку всех пакетов. Их доставку без потерь, и к тому же без нарушения последовательности, обеспечивает только прямое подключение между узлами сети. Именно поэтому в основу протокола РРР, разработанного специально для таких сред, положен метод структурного шифрования.

IPSec и бесструктурное шифрование.

В протоколе IPSec предусмотрено шифрование каждого пакета индивидуально и независимо от его предшественников. Благодаря такой схеме потеря отдельного пакета приведет к утрате только той части информации, которая была заключена в нем, но нисколько не скажется на возможности дешифрования других пакетов. В тех случаях, когда протоколы туннелирования канального уровня (такие, как PPTP и L2TP) передаются поверх IPSec, появляется возможность вместо механизмов структурного шифрования РРР использовать механизмы бесструктурного шифрования IPSec.

Протокол IPSec создан на основе модели Целевой группы технической поддержки Интернета, предусматривающей смешение криптографии открытых и секретных ключей. Автоматизирован здесь и процесс управления ключами, за счет чего удается добиться максимально возможного уровня безопасности при очень высокой производительности криптосистемы. Такая схема позволяет производить аутентификацию, проверять целостность информации, предотвращать повторное использование паролей, а также — при применении дополнительных средств — сохранять конфиденциальность данных, обеспечивая тем самым очень высокую защищенность канала связи. К тому же, протокол IPSec, реализованный корпорацией Microsoft, работает ниже сетевого уровня и поэтому прозрачен для пользователей и приложений. Принимая его на вооружение, организации автоматически выходят на качественно новый уровень сетевой безопасности.

Практические реализации IPSec обычно поддерживают более широкий спектр алгоритмов шифрования, чем протоколы туннелирования канального уровня, где используется шифрование РРР. Однако такие протоколы можно передавать поверх IPSec, что позволяет шифровать туннельный трафик канального уровня посредством всех алгоритмов протокола IPSec.

.4 Фильтрация

Фильтрация служит еще одним мощным средством обеспечения сетевой безопасности. Опираясь на нее, администратор может разрешить доступ к корпоративной сети из Интернета только тем пользователям, которые прошли аутентификацию в ВЧС. К тому же, отсеивание пакетов, не относящихся к протоколам PPTP и L2TP, снижает риск атаки на корпоративную сеть через сервер шлюза ВЧС. Пропуская поступающий трафик через фильтр, можно удалить из него все пакеты, не отвечающие заданным критериям (протоколам). В комбинации с шифрованием по протоколу РРР эта функция гарантирует, что поступить в частную ЛВС и покинуть ее смогут только санкционированные шифрованные данные.

Фильтрация на сервере маршрутизации и удаленного доступа ВЧС. Сервер R/RAS (Routing and Remote Access Server — сервер маршрутизации и удаленного доступа) не только производит маршрутизацию сообщений, но и выполняет целый ряд других функций. Так, он способен обслуживать удаленный доступ по коммутируемым каналам, поддерживает ВЧС, обеспечивает фильтрацию пакетов на отдельных портах. А в среде Windows 2000 этот сервер сможет работать с протоколом L2TP.

Разработчики сервера ВЧС R/RAS предусмотрели возможность установки фильтров PPTP и L2TP на входных портах туннельного сервера. Такая схема позволяет блокировать все пакеты, не соответствующие критериям протоколов, которые установлены на сервере. В частности, в сеть могут пропускаться лишь пакеты, адресованные конкретному серверу, или те, исходные адреса которых указаны в список разрешенных IP-адресов отправителей. Может также проводиться проверка подлинности адресов в частной сети отправителя и получателя, назначаемых туннельным сервером.

Допускается и фильтрация трафика на выходных портах туннельного сервера, которая отсеивает данные, исходящие из частной сети. Здесь, например, можно наладить проверку адресов получателей и их сопоставление со списком разрешенных, который ведется на сервере R/RAS. Точно так же можно производить проверку адресов отправителей пакетов.

Фильтрация IPSec.

Протокол IPSec можно представить как еще один уровень, лежащий ниже стека TCP/IP. Управление этим уровнем производится в соответствии с политикой безопасности на каждом компьютере, учитываются и правила обеспечения безопасности, согласованные отправителем и получателем сообщения. Политика безопасности определяет как используемый набор фильтров, так и ассоциированные функции безопасности (associated security behaviors). Если IP-адрес, протокол и номер порта, указанные в пакете, соответствуют критериям фильтрации, следующим этапом становится проверка ассоциированных функций безопасности.

ВЧС и брандмауэры.

Брандмауэр представляет собой еще одно средство защиты корпоративной сети. Этот компонент общей системы безопасности строго следит за тем, какие данные могут быть пропущены из Интернета в частную сеть. Известны три способа размещения брандмауэров в виртуальных частных сетях.

Туннельный сервер ВЧС может быть установлен перед брандмауэром, позади него или на одном компьютере с ним. Наиболее высокий уровень защиты достигается при установке сервера перед брандмауэром. В среде Windows NT туннель ВЧС настраивается таким образом, что в сеть проходят только пакеты PPTP. Пройдя фильтрацию, они разуплотняются, дешифруются и в таком виде поступают на брандмауэр, где их содержимое вновь подвергается фильтрации и анализу. Именно такая схема — установка сервера ВЧС перед брандмауэром — рекомендуется для применения в расширенных интрасетях, используемых многочисленными доверенными партнерами, и для защиты финансовых ресурсов. Впрочем, такой совет не универсален, окончательное решение следует принимать в каждом ко

Как уже отмечалось, брандмауэр может устанавливаться и перед сервером ВЧС. При такой схеме серверу приходится анализировать гораздо больше пакетов, чем в описанной выше схеме. Кроме того, возникает опасность прохождения через брандмауэр несанкционированных пакетов PPTP: информация в них зашифрована и сжата, поэтому провести ее фильтрацию брандмауэр не в состоянии. В этом случае возникает угроза неправомерного использования сети служащими, которым предоставляется право доступа в нее. Причем такая внутренняя угроза превращается в повседневную, если служащий получает возможность входить в ЛВС постоянно. Впрочем, подобную конфигурацию, как и связанный с ней риск, можно признать допустимыми для приложений, работающих в интрасетях и подобных им сетевых структурах.

И, наконец, третья схема, к которой могут прибегнуть организации с ограниченными ресурсами, — брандмауэр устанавливается на одном компьютере с сервером ВЧС. При такой конфигурации машина направляет исходящий трафик ВЧС соответствующим получателям, а входящий — на расположенный тут же брандмауэр для анализа. Такой способ является наиболее экономичным, и его вполне можно рекомендовать для применения в интрасетях и для связи в пределах одной компании.

Глава 2. Практическая часть

.1 Практическая реализация

Рисунок 6- Вариант виртуальной частной сети

Рисунок 7- Мастер настройки сервера

Рисунок 8- Свойства: входящие звонки

Рисунок 9- Мастер новых подключений

Рисунок 10- VPN- свойства

2.2 Проверка

криптографический пользователь идентификация аутентификация

Рисунок 11- Проверка рабочей станции

Рисунок 12- Локальный сайт организации

Все работает, необходимо замерить производительность работы созданной виртуальной частной сети. Для этого скопируем файл через VPN подключение, а также, не используя его, на VPN сервер. В качестве физической среды передачи информации выступит 100 Мбит сеть, в этом случае пропускная способность сети не является ограничивающим фактором. Итак, копирование файла размером 342 921 216 байт происходило 121 секунду. С подключением VPN — 153 секунды. В целом потеря во времени копирования составила 26%, что естественно, поскольку при передаче информации через VPN появляются дополнительные накладные расходы в виде шифрования/дешифрования данных. В нашем случае использовался протокол PPTP, при использовании других видов протоколов потеря во времени также будет варьироваться. В настоящее время Microsoft рекомендует использовать протокол L2TP IPSec вместе со смарт-картами для обеспечения максимальной защиты при проверке подлинности и передачи информации.

Заключение

Защита сети — процесс динамичный, который позволит надежно защитить информацию и не снизить производительность всей организации.

Средства ВЧС, разработанные Microsoft, обеспечивают высочайший уровень безопасности. Они открывают перед организациями все достоинства такой удобной и экономичной технологии, как туннелирование трафика в общедоступных сетях, и при этом надежно блокируют несанкционированный доступ к информации через черный ход.

Виртуальная частная сеть — очень нужное изобретение в мире информационных технологий, которое поможет нам безопасно получить интересующую нас информацию. Следует отметить, что для реализации VPN существуют целые аппаратные комплексы, однако они не взыскали широкого распространения в силу своей направленности на обслуживание больших предприятий и, как следствие, дороговизны. Вычислительная мощь аппаратных решений конечно очень высока, но не всегда востребована, поэтому программные решения, а тем более стандартные, не требующие дополнительных затрат на поиск и приобретение дополнительного программного обеспечения, приобрели такую огромную популярность. Построенная в результате VPN очень проста, но она показывает основные моменты построения VPN. Построение других видов VPN на основе Microsoft 2003 Server принципиально ничем не отличаются. В заключение хотелось бы отметить, что способов применения VPN очень много, как и способов реализации. С помощью VPN — безопасность не только информации, которая передается, но и самого подключения.

Список литературы

. Иванов М.А. Криптографические методы защиты информации в компьютерных системах и сетях. — М.: КУДИЦ-ОБРАЗ, 2001. — 368 с.

. Кульгин М. Технологии корпоративных сетей. Энциклопедия. — СПб.: Питер, 2000. — 704 с.

.Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов. — СПб.: Питер, 2001. — 672 с.

.Романец Ю.В. Тимофеев П.А., Шаньгин В.Ф. Защита информации в компьютерных системах и сетях. 2-е изд. — М: Радио и связь, 2002. −328 с.

.Столлингс В. Основы защиты сетей. Приложения и стандарты = Network Security Essentials. Applications and Standards. — М.: «Вильямс», 2002. — С. 432. — ISBN 0-13-016093-8.

. Запечников С.В. Модельное представление ключевых систем средств криптографической защиты информации // Безопасность информационных технологий. 2008. № 4. С. 84-92.

. Запечников С.В. Криптографические протоколы и их применение в финансовой и коммерческой деятельности: уч. пособие для вузов. М.: Горячая линия — Телеком, 2007.- 320 с.

Реферат

«Протоколы
и методы реализации VPN сетей»

Введение

В
последнее время в мире телекоммуникаций
наблюдается повышенный интерес к
виртуальным
частным сетям
(Virtual
Private Network – VPN).
Это обусловлено необходимостью снижения
расходов на содержание корпоративных
сетей за счет более дешевого подключения
удаленных офисов и удаленных пользователей
через сеть Internet. Действительно, при
сравнении стоимости услуг по соединению
нескольких сетей через Internet, например,
с сетями Frame Relay можно заметить существенную
разницу в стоимости. Однако необходимо
отметить, что при объединении сетей
через Internet, сразу же возникает вопрос
о безопасности передачи данных, поэтому
возникла необходимость создания
механизмов позволяющих обеспечить
конфиденциальность и целостность
передаваемой информации. Сети, построенные
на базе таких механизмов, и получили
название VPN.

Кроме
того, очень часто современному человеку,
развивая свой бизнес, приходится много
путешествовать. Это могут быть поездки
в отдаленные уголки нашей страны или в
страны зарубежья. Нередко людям нужен
доступ к своей информации, хранящейся
на их домашнем компьютере, или на
компьютере фирмы. Эту проблему можно
решить, организовав удалённый доступ
к нему с помощью модема и телефонной
линии. Использование телефонной линии
имеет свои особенности. Недостатки
этого решения в том, что звонок с другой
страны стоит немалых денег. Есть и другое
решение под названием VPN. Преимущества
технологии VPN в том, что организация
удалённого доступа делается не через
телефонную линию, а через Internet, что
намного дешевле и лучше. По моему мнению,
технология

VPN
имеет перспективу на широкое распространение
по всему миру.

1. Понятие и классификация vpn сетей, их построение

1.1 Что такое vpn

VPN
(англ. Virtual
Private Network
– виртуальная частная сеть) – логическая
сеть, создаваемая поверх другой сети,
например Internet. Несмотря на то, что
коммуникации осуществляются по публичным
сетям с использованием небезопасных
протоколов, за счёт шифрования создаются
закрытые от посторонних каналы обмена
информацией. VPN позволяет объединить,
например, несколько офисов организации
в единую сеть с использованием для связи
между ними неподконтрольных каналов.

По
своей сути VPN обладает многими свойствами
выделенной линии, однако развертывается
она в пределах общедоступной сети,
например Интернета. С помощью методики
туннелирования пакеты данных транслируются
через общедоступную сеть как по обычному
двухточечному соединению. Между каждой
парой «отправитель–получатель данных»
устанавливается своеобразный туннель
– безопасное логическое соединение,
позволяющее инкапсулировать данные
одного протокола в пакеты другого.
Основными компонентами туннеля являются:

• инициатор

• маршрутизируемая
  сеть;

• туннельный
  коммутатор;

• один
  или несколько туннельных терминаторов.

Сам
по себе принцип работы VPN не противоречит
основным сетевым технологиям и протоколам.
Например, при установлении соединения
удаленного доступа клиент посылает
серверу поток пакетов стандартного
протокола PPP. В случае организации
виртуальных выделенных линий между
локальными сетями их маршрутизаторы
также обмениваются пакетами PPP. Тем не
менее, принципиально новым моментом
является пересылка пакетов через
безопасный туннель, организованный в
пределах общедоступной сети.

Туннелирование
позволяет организовать передачу пакетов
одного

протокола
в логической среде, использующей другой
протокол. В результате появляется
возможность решить проблемы взаимодействия
нескольких разнотипных сетей, начиная
с необходимости обеспечения целостности
и конфиденциальности передаваемых
данных и заканчивая преодолением
несоответствий внешних протоколов или
схем адресации.

Существующая
сетевая инфраструктура корпорации
может быть подготовлена к использованию
VPN как с помощью программного, так и с
помощью аппаратного обеспечения.
Организацию виртуальной частной сети
можно сравнить с прокладкой кабеля
через глобальную сеть. Как правило,
непосредственное соединение между
удаленным пользователем и оконечным
устройством туннеля устанавливается
по протоколу PPP.

Наиболее
распространенный метод создания туннелей
VPN – инкапсуляция сетевых протоколов
(IP, IPX, AppleTalk и т.д.) в PPP и последующая
инкапсуляция образованных пакетов в
протокол туннелирования. Обычно в
качестве последнего выступает IP или
(гораздо реже) ATM и Frame Relay. Такой подход
называется туннелированием второго
уровня, поскольку «пассажиром» здесь
является протокол именно второго уровня.

Альтернативный
подход – инкапсуляция пакетов сетевого
протокола непосредственно в протокол
туннелирования (например, VTP) называется
туннелированием третьего уровня.

Независимо
от того, какие протоколы используются
или какие цели

преследуются
при организации туннеля, основная
методика остается

практически
неизменной. Обычно один протокол
используется для установления соединения
с удаленным узлом, а другой – для
инкапсуляции данных и служебной
информации с целью передачи через
туннель.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

• #
• #
• #
• #
• #
• #
• #

  28.03.20167.74 Mб25126.1_osnovy_td.djvu

• #
• #
• #
• #

Реферат

«Протоколы и методы реализации VPN сетей»

Введение

В последнее время в мире телекоммуникаций наблюдается повышенный интерес к виртуальным частным сетям (Virtual Private Network – VPN). Это обусловлено необходимостью снижения расходов на содержание корпоративных сетей за счет более дешевого подключения удаленных офисов и удаленных пользователей через сеть Internet. Действительно, при сравнении стоимости услуг по соединению нескольких сетей через Internet, например, с сетями Frame Relay можно заметить существенную разницу в стоимости. Однако необходимо отметить, что при объединении сетей через Internet, сразу же возникает вопрос о безопасности передачи данных, поэтому возникла необходимость создания механизмов позволяющих обеспечить конфиденциальность и целостность передаваемой информации. Сети, построенные на базе таких механизмов, и получили название VPN.

Кроме того, очень часто современному человеку, развивая свой бизнес, приходится много путешествовать. Это могут быть поездки в отдаленные уголки нашей страны или в страны зарубежья. Нередко людям нужен доступ к своей информации, хранящейся на их домашнем компьютере, или на компьютере фирмы. Эту проблему можно решить, организовав удалённый доступ к нему с помощью модема и телефонной линии. Использование телефонной линии имеет свои особенности. Недостатки этого решения в том, что звонок с другой страны стоит немалых денег. Есть и другое решение под названием VPN. Преимущества технологии VPN в том, что организация удалённого доступа делается не через телефонную линию, а через Internet, что намного дешевле и лучше. По моему мнению, технология

VPN имеет перспективу на широкое распространение по всему миру.

1. Понятие и классификация VPN сетей, их построение

1.1 Что такое VPN

VPN (англ. Virtual Private Network – виртуальная частная сеть) – логическая сеть, создаваемая поверх другой сети, например Internet. Несмотря на то, что коммуникации осуществляются по публичным сетям с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов.

По своей сути VPN обладает многими свойствами выделенной линии, однако развертывается она в пределах общедоступной сети, например Интернета. С помощью методики туннелирования пакеты данных транслируются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой «отправитель–получатель данных» устанавливается своеобразный туннель – безопасное логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого. Основными компонентами туннеля являются:

· инициатор

· маршрутизируемая сеть;

· туннельный коммутатор;

· один или несколько туннельных терминаторов.

Сам по себе принцип работы VPN не противоречит основным сетевым технологиям и протоколам. Например, при установлении соединения удаленного доступа клиент посылает серверу поток пакетов стандартного протокола PPP. В случае организации виртуальных выделенных линий между локальными сетями их маршрутизаторы также обмениваются пакетами PPP. Тем не менее, принципиально новым моментом является пересылка пакетов через безопасный туннель, организованный в пределах общедоступной сети.

Туннелирование позволяет организовать передачу пакетов одного

протокола в логической среде, использующей другой протокол. В результате появляется возможность решить проблемы взаимодействия нескольких разнотипных сетей, начиная с необходимости обеспечения целостности и конфиденциальности передаваемых данных и заканчивая преодолением несоответствий внешних протоколов или схем адресации.

Существующая сетевая инфраструктура корпорации может быть подготовлена к использованию VPN как с помощью программного, так и с помощью аппаратного обеспечения. Организацию виртуальной частной сети можно сравнить с прокладкой кабеля через глобальную сеть. Как правило, непосредственное соединение между удаленным пользователем и оконечным устройством туннеля устанавливается по протоколу PPP.

Наиболее распространенный метод создания туннелей VPN – инкапсуляция сетевых протоколов (IP, IPX, AppleTalk и т.д.) в PPP и последующая инкапсуляция образованных пакетов в протокол туннелирования. Обычно в качестве последнего выступает IP или (гораздо реже) ATM и Frame Relay. Такой подход называется туннелированием второго уровня, поскольку «пассажиром» здесь является протокол именно второго уровня.

Альтернативный подход – инкапсуляция пакетов сетевого протокола непосредственно в протокол туннелирования (например, VTP) называется туннелированием третьего уровня.

Независимо от того, какие протоколы используются или какие цели

преследуются при организации туннеля, основная методика остается

практически неизменной. Обычно один протокол используется для установления соединения с удаленным узлом, а другой – для инкапсуляции данных и служебной информации с целью передачи через туннель.

1.2 Классификация VPN сетей

Классифицировать VPN решения можно по нескольким основным параметрам:

1. По типу используемой среды:

· Защищённые VPN сети. Наиболее распространённый вариант приватных частных сетей. C его помощью возможно создать надежную и защищенную подсеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP.

· Доверительные VPN сети. Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Вопросы обеспечения безопасности становятся неактуальными. Примерами подобных VPN решении являются: MPLS и L2TP. Корректнее сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec.

2. По способу реализации :

· VPN сети в виде специального программно-аппаратного обеспечения. Реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости.

· VPN сети в виде программного решения. Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.

· VPN сети с интегрированным решением. Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

3. По назначению:

· Intranet VPN. Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.

· Remote Access VPN. Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера или, находясь в командировке, подключается к корпоративным ресурсам при помощи ноутбука.

· Extranet VPN. Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.

4. По типу протокола:

Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его.

5. По уровню сетевого протокола:

По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.

1.3. Построение VPN

Существуют различные варианты построения VPN. При выборе решения требуется учитывать факторы производительности средств построения VPN. Например, если маршрутизатор и так работает на пределе мощности своего процессора, то добавление туннелей VPN и применение шифрования / дешифрования информации могут остановить работу всей сети из-за того, что этот маршрутизатор не будет справляться с простым трафиком, не говоря уже о VPN. Опыт показывает, что для построения VPN лучше всего использовать специализированное оборудование, однако если имеется ограничение в средствах, то можно обратить внимание на чисто программное решение. Рассмотрим некоторые варианты построения VPN.

· VPN на базе брандмауэров

Брандмауэры большинства производителей поддерживают туннелирование и шифрование данных. Все подобные продукты основаны на том, что трафик, проходящий через брандмауэр шифруется. К программному обеспечению собственно брандмауэра добавляется модуль шифрования. Недостатком этого метода можно назвать зависимость производительности от аппаратного обеспечения, на котором работает брандмауэр. При использовании брандмауэров на базе ПК надо помнить, что подобное решение можно применять только для небольших сетей с небольшим объемом передаваемой информации.

В качестве примера VPN на базе брандмауэров можно назвать FireWall-1 компании Check Point Software Technologies. FairWall-1 использует для построения VPN стандартный подход на базе IPSec. Трафик, приходящий в брандмауэр, дешифруется, после чего к нему применяются стандартные правила управления доступом. FireWall-1 работает под управлением операционных систем Solaris и Windows NT 4.0.

· VPN на базе маршрутизаторов

Другим способом построения VPN является применение для создания защищенных каналов маршрутизаторов. Так как вся информация, исходящая из локальной сети, проходит через маршрутизатор, то целесообразно возложить на этот маршрутизатор и задачи шифрования.

Примером оборудования для построения VPN на маршрутизаторах является оборудование компании Cisco Systems. Начиная с версии программного обеспечения IOS 11.3, маршрутизаторы Cisco поддерживают протоколы L2TP и IPSec. Помимо простого шифрования проходящей информации Cisco поддерживает и другие функции VPN, такие как идентификация при установлении туннельного соединения и обмен ключами.

Для повышения производительности маршрутизатора может быть использован дополнительный модуль шифрования ESA. Кроме того, компания Cisco System выпустила специализированное устройство для VPN, которое так и называется Cisco 1720 VPN Access Router (маршрутизатор доступа к VPN), предназначенное для установки в компаниях малого и среднего размера, а также в отделениях крупных организаций.

· VPN на базе программного обеспечения

Следующим подходом к построению VPN являются чисто программные решения. При реализации такого решения используется специализированное программное обеспечение, которое работает на выделенном компьютере, и в большинстве случаев выполняет роль proxy-сервера. Компьютер с таким программным обеспечением может быть расположен за брандмауэром.

В качестве примера такого решения можно выступает программное обеспечение AltaVista Tunnel 97 компании Digital. При использовании данного программного обеспечения клиент подключается к серверу Tunnel 97, аутентифицируется на нем и обменивается ключами. Шифрация производится на базе 56 или 128 битных ключей, полученных в процессе установления соединения. Далее, зашифрованные пакеты инкапсулируются в другие IP-пакеты, которые в свою очередь отправляются на сервер. Кроме того, данное программное обеспечение каждые 30 минут генерирует новые ключи, что значительно повышает защищенность соединения.

Положительными качествами AltaVista Tunnel 97 являются простота установки и удобство управления. Минусами данной системы можно считать нестандартную архитектуру (собственный алгоритм обмена ключами) и низкую производительность.

· VPN на базе сетевой ОС

Решения на базе сетевой ОС мы рассмотрим на примере системы Windows NT компании Microsoft. Для создания VPN Microsoft использует протокол PPTP, который интегрирован в систему Windows NT. Данное решение очень привлекательно для организаций использующих Windows в качестве корпоративной операционной системы. Необходимо отметить, что стоимость такого решения значительно ниже стоимости прочих решений. В работе VPN на базе Windows NT используется база пользователей NT, хранящаяся на Primary Domain Controller (PDC). При подключении к PPTP-серверу пользователь аутентифицируется по протоколам PAP, CHAP или MS-CHAP. Передаваемые пакеты инкапсулируются в пакеты GRE/PPTP. Для шифрования пакетов используется нестандартный протокол от Microsoft Point-to-Point Encryption c 40 или 128 битным ключом, получаемым в момент установки соединения. Недостатками данной системы являются отсутствие проверки целостности данных и невозможность смены ключей во время соединения. Положительными моментами являются легкость интеграции с Windows и низкая стоимость.

· VPN на базе аппаратных средств

Вариант построения VPN на специальных устройствах может быть использован в сетях, требующих высокой производительности. Примером такого решения служит продукт c IPro-VPN компании Radguard. Данный продукт использует аппаратное шифрование передаваемой информации, способное пропускать поток в 100 Мбит/с. IPro-VPN поддерживает протокол IPSec и механизм управления ключами ISAKMP/Oakley. Помимо прочего, данное устройство поддерживает средства трансляции сетевых адресов и может быть дополнено специальной платой, добавляющей функции брандмауэра

2. Протоколы VPN сетей

Сети VPN строятся с использованием протоколов туннелирования данных через сеть связи общего пользования Интернет, причем протоколы туннелирования обеспечивают шифрование данных и осуществляют их сквозную передачу между пользователями. Как правило, на сегодняшний день для построения сетей VPN используются протоколы следующих уровней:

· Канальный уровень

· Сетевой уровень

· Транспортный уровень.

2.1 Канальный уровень

На канальном уровне могут использоваться протоколы туннелирования данных L2TP и PPTP, которые используют авторизацию и аутентификацию.

· PPTP

В настоящее время наиболее распространенным протоколом VPN является протокол двухточечной туннельной связи или Point-to-Point Tunnelling Protocol – PPTP. Разработан он компаниями 3Com и Microsoft с целью предоставления безопасного удаленного доступа к корпоративным сетям через Интернет. PPTP использует существующие открытые стандарты TCP/IP и во многом полагается на устаревший протокол двухточечной связи РРР. На практике РРР так и остается коммуникационным протоколом сеанса соединения РРТР. РРТР создает туннель через сеть к NT-серверу получателя и передает по нему РРР-пакеты удаленного пользователя. Сервер и рабочая станция используют виртуальную частную сеть и не обращают внимания на то, насколько безопасной или доступной является глобальная сеть между ними. Завершение сеанса соединения по инициативе сервера, в отличие от специализированных серверов удаленного доступа, позволяет администраторам локальной сети не пропускать удаленных пользователей за пределы системы безопасности Windows NT Server.

Хотя компетенция протокола РРТР распространяется только на устройства, работающие под управлением Windows, он предоставляет компаниям возможность взаимодействовать с существующими сетевыми инфраструктурами и не наносить вред собственной системе безопасности. Таким образом, удаленный пользователь может подключиться к Интернету с помощью местного провайдера по аналоговой телефонной линии или каналу ISDN и установить соединение с сервером NT. При этом компании не приходится тратить большие суммы на организацию и обслуживание пула модемов, предоставляющего услуги удаленного доступа.

Далее рассматривается работа РРТР. PPTP инкапсулирует пакеты IP для передачи по IP-сети. Клиенты PPTP используют порт назначения для создания управляющего туннелем соединения. Этот процесс происходит на транспортном уровне модели OSI. После создания туннеля компьютер-клиент и сервер начинают обмен служебными пакетами. В дополнение к управляющему соединению PPTP, обеспечивающему работоспособность канала, создается соединение для пересылки по туннелю данных. Инкапсуляция данных перед пересылкой через туннель происходит несколько иначе, чем при обычной передаче. Инкапсуляция данных перед отправкой в туннель включает два этапа:

1. Сначала создается информационная часть PPP. Данные проходят сверху вниз, от прикладного уровня OSI до канального.

2. Затем полученные данные отправляются вверх по модели OSI и инкапсулируются протоколами верхних уровней.

Таким образом, во время второго прохода данные достигают транспортного уровня. Однако информация не может быть отправлена по назначению, так как за это отвечает канальный уровень OSI. Поэтому PPTP шифрует поле полезной нагрузки пакета и берет на себя функции второго уровня, обычно принадлежащие PPP, т.е. добавляет к PPTP-пакету PPP-заголовок и окончание. На этом создание кадра канального уровня заканчивается.

Далее, PPTP инкапсулирует PPP-кадр в пакет GenericRoutingEncapsulation (GRE), который принадлежит сетевому уровню. GRE инкапсулирует протоколы сетевого уровня, например IPX, AppleTalk, DECnet, чтобы обеспечить возможность их передачи по IP-сетям. Однако GRE не имеет возможности устанавливать сессии и обеспечивать защиту данных от злоумышленников. Для этого используется способность PPTP создавать соединение для управления туннелем. Применение GRE в качестве метода инкапсуляции ограничивает поле действия PPTP только сетями IP.

После того как кадр PPP был инкапсулирован в кадр с заголовком GRE, выполняется инкапсуляция в кадр с IP-заголовком. IP-заголовок содержит адреса отправителя и получателя пакета. В заключение PPTP добавляет PPP заголовок и окончание. На приложении 3 показана структура данных для пересылки по туннелю PPTP. [Приложение 3]

Система-отправитель посылает данные через туннель. Система-получатель удаляет все служебные заголовки, оставляя только данные PPP.

· L2TP

В ближайшем будущем ожидается рост количества виртуальных частных сетей, развернутых на базе нового протокола туннелирования второго уровня Layer2 TunnelingProtocol– L2TP.

L2TP появился в результате объединения протоколов PPTP и L2F (Layer 2 Forwarding). PPTP позволяет передавать через туннель пакеты PPP, а L2F-пакеты SLIP и PPP. Во избежание путаницы и проблем взаимодействия систем на рынке телекоммуникаций, комитет Internet EngineeringTaskForce (IETF) рекомендовал компании CiscoSystems объединить PPTP и L2F. По общему мнению, протокол L2TP вобрал в себя лучшие черты PPTP и L2F. Главное достоинство L2TP в том, что этот протокол позволяет создавать туннель не только в сетях IP, но и в таких, как ATM, X.25 и Frame Relay. К сожалению, реализация L2TP в Windows 2000 поддерживает только IP.

L2TP применяет в качестве транспорта протокол UDP и использует одинаковый формат сообщений как для управления туннелем, так и для пересылки данных. L2TP в реализации Microsoft использует в качестве контрольных сообщений пакеты UDP, содержащие шифрованные пакеты PPP. Надежность доставки гарантирует контроль последовательности пакетов.

Функциональные возможности PPTP и L2TP различны. L2TP может использоваться не только в IP-сетях, служебные сообщения для создания туннеля и пересылки по нему данных используют одинаковый формат и протоколы. PPTP может применяться только в IP-сетях, и ему необходимо отдельное соединение TCP для создания и использования туннеля. L2TP поверх IPSec предлагает больше уровней безопасности, чем PPTP, и может гарантировать почти 100-процентную безопасность важных для организации данных. Особенности L2TP делают его очень перспективным протоколом для построения виртуальных сетей.

Протоколы L2TP и PPTP отличаются от протоколов туннелирования третьего уровня рядом особенностей:

1. Предоставление корпорациям возможности самостоятельно выбирать способ аутентификации пользователей и проверки их полномочий – на собственной «территории» или у провайдера Интернет-услуг. Обрабатывая туннелированные пакеты PPP, серверы корпоративной сети получают всю информацию, необходимую для идентификации пользователей.

2. Поддержка коммутации туннелей – завершения одного туннеля и инициирования другого к одному из множества потенциальных терминаторов. Коммутация туннелей позволяет, как бы продлить PPP – соединение до необходимой конечной точки.

3. Предоставление системным администраторам корпоративной сети возможности реализации стратегий назначения пользователям прав доступа непосредственно на брандмауэре и внутренних серверах. Поскольку терминаторы туннеля получают пакеты PPP со сведениями о пользователях, они в состоянии применять сформулированные администраторами стратегии безопасности к трафику отдельных пользователей. (Туннелирование третьего уровня не позволяет различать поступающие от провайдера пакеты, поэтому фильтры стратегии безопасности приходится применять на конечных рабочих станциях и сетевых устройствах.) Кроме того, в случае использования туннельного коммутатора появляется возможность организовать «продолжение» туннеля

второго уровня для непосредственной трансляции трафика отдельных

пользователей к соответствующим внутренним серверам. На такие серверы может быть возложена задача дополнительной фильтрации пакетов.

Также на канальном уровне для организации туннелей может использоваться технология MPLS.

· MPLS

От английского MultiprotocolLabelSwitching– мультипротокольная коммутация по меткам – механизм передачи данных, который эмулирует различные свойства сетей с коммутацией каналов поверх сетей с коммутацией пакетов. MPLS работает на уровне, который можно было бы расположить между канальным и третьим сетевым уровнями модели OSI, и поэтому его обычно называют протоколом канально-сетевого уровня. Он был разработан с целью обеспечения универсальной службы передачи данных как для клиентов сетей с коммутацией каналов, так и сетей с коммутацией пакетов. С помощью MPLS можно передавать трафик самой разной природы, такой как IP-пакеты, ATM, SONET и кадры Ethernet.

Решения по организации VPN на канальном уровне имеют достаточно ограниченную область действия, как правило, в рамках домена провайдера.

2.2 Сетевой уровень

Сетевой уровень (уровень IP). Используется протокол IPSec реализующий шифрование и конфедициальность данных, а также аутентификацию абонентов. Применение протокола IPSec позволяет реализовать полнофункциональный доступ эквивалентный физическому подключению к корпоративной сети. Для установления VPN каждый из участников должен сконфигурировать определенные параметры IPSec, т.е. каждый клиент должен иметь программное обеспечение реализующее IPSec.

· IPSec

Естественно, никакая компания не хотела бы открыто передавать в

Интернет финансовую или другую конфиденциальную информацию. Каналы VPN защищены мощными алгоритмами шифрования, заложенными в стандарты протокола безопасности IРsec. IPSec или InternetProtocolSecurity– стандарт, выбранный международным сообществом, группой IETF – Internet EngineeringTaskForce, создает основы безопасности для Интернет-протокола (IP/ Протокол IPSecобеспечивает защиту на сетевом уровне и требует поддержки стандарта IPSecтолько от общающихся между собой устройств по обе стороны соединения. Все остальные устройства, расположенные между ними, просто обеспечивают трафик IP-пакетов.

Способ взаимодействия лиц, использующих технологию IPSec, принято определять термином «защищенная ассоциация» – SecurityAssociation(SA). Защищенная ассоциация функционирует на основе соглашения, заключенного сторонами, которые пользуются средствами IPSecдля защиты передаваемой друг другу информации. Это соглашение регулирует несколько параметров: IP-адреса отправителя и получателя, криптографический алгоритм, порядок обмена ключами, размеры ключей, срок службы ключей, алгоритм аутентификации.

IPSec– это согласованный набор открытых стандартов, имеющий ядро, которое может быть достаточно просто дополнено новыми функциями и протоколами. Ядро IPSec составляют три протокола:

· АН или AuthenticationHeader– заголовок аутентификации – гарантирует целостность и аутентичность данных. Основное назначение протокола АН – он позволяет приемной стороне убедиться, что:

1. пакет был отправлен стороной, с которой установлена безопасная ассоциация;

2. содержимое пакета не было искажено в процессе его передачи по сети;

пакет не является дубликатом уже полученного пакета.

Две первые функции обязательны для протокола АН, а последняя выбирается при установлении ассоциации по желанию. Для выполнения этих функций протокол АН использует специальный заголовок. Его структура рассматривается по следующей схеме:

1. В поле следующего заголовка (nextheader) указывается код протокола более высокого уровня, то есть протокола, сообщение которого размещено в поле данных IP-пакета.

2. В поле длины полезной нагрузки (payloadlength) содержится длина заголовка АН.

3. Индекс параметров безопасности (SecurityParametersIndex, SPI) используется для связи пакета с предусмотренной для него безопасной ассоциацией.

4. Поле порядкового номера (SequenceNumber, SN) указывает на порядковый номер пакета и применяется для защиты от его ложного воспроизведения (когда третья сторона пытается повторно использовать перехваченные защищенные пакеты, отправленные реально аутентифицированным отправителем).

5. Поле данных аутентификации (authenticationdata), которое содержит так называемое значение проверки целостности (IntegrityCheckValue, ICV), используется для аутентификации и проверки целостности пакета. Это значение, называемое также дайджестом, вычисляется с помощью одной из двух обязательно поддерживаемых протоколом АН вычислительно необратимых функций MD5 или SAH-1, но может использоваться и любая другая функция.

· ESP или EncapsulatingSecurityPayload– инкапсуляция зашифрованных данных – шифрует передаваемые данные, обеспечивая конфиденциальность, может также поддерживать аутентификацию и целостность данных;

Протокол ESP решает две группы задач.

1. К первой относятся задачи, аналогичные задачам протокола АН, – это обеспечение аутентификации и целостности данных на основе дайджеста,

2. Ко второй – защита передаваемых данных путем их шифрования от несанкционированного просмотра.

Заголовок делится на две части, разделяемые полем данных.

1. Первая часть, называемая собственно заголовком ESP , образуется двумя полями (SPI и SN), назначение которых аналогично одноименным полям протокола АН, и размещается перед полем данных.

2. Остальные служебные поля протокола ESP, называемые концевиком ESP, расположены в конце пакета.

Два поля концевика – следующего заголовка и данных аутентификации – аналогичны полям заголовка АН. Поле данных аутентификации отсутствует, если при установлении безопасной ассоциации принято решение не использовать возможностей протокола ESP по обеспечению целостности. Помимо этих полей концевик содержит два дополнительных поля – заполнителя и длины заполнителя.

Протоколы AH и ESP могут защищать данные в двух режимах:

1. в транспортном – передача ведется с оригинальными IP-заголовками;

2. в туннельном – исходный пакет помещается в новый IP-пакет и передача ведется с новыми заголовками.

Применение того или иного режима зависит от требований, предъявляемых к защите данных, а также от роли, которую играет в сети узел, завершающий защищенный канал. Так, узел может быть хостом (конечным узлом) или шлюзом (промежуточным узлом). Соответственно, имеются три схемы применения протокола IPSec:

1. хост–хост;

2. шлюз–шлюз;

3. хост–шлюз.

Возможности протоколов АН и ESP частично перекрываются: протокол АН отвечает только за обеспечение целостности и аутентификации данных, протокол ESP может шифровать данные и, кроме того, выполнять функции протокола АН (в урезанном виде). ESP может поддерживать функции шифрования и аутентификации / целостности в любых комбинациях, то есть либо всю группу функций, либо только аутентификацию / целостность, либо только шифрование.

· IKE или InternetKeyExchange– обмен ключами Интернета – решает вспомогательную задачу автоматического предоставления конечным точкам защищенного канала секретных ключей, необходимых для работы протоколов аутентификации и шифрования данных.

2.3 Транспортный уровень

На транспортном уровне используется протокол SSL/TLS или SecureSocketLayer/TransportLayerSecurity, реализующий шифрование и аутентификацию между транспортными уровнями приемника и передатчика. SSL/TLS может применяться для защиты трафика TCP, не может применяться для защиты трафика UDP. Для функционирования VPN на основе SSL/TLS нет необходимости в реализации специального программного обеспечения так как каждый браузер и почтовый клиент оснащены этими протоколами. В силу того, что SSL/TLS реализуется на транспортном уровне, защищенное соединение устанавливается «из-конца-в-конец».

TLS-протокол основан на NetscapeSSL-протоколе версии 3.0 и состоит из двух частей – TLS RecordProtocol и TLS HandshakeProtocol. Различие между SSL 3.0 и TLS 1.0 незначительные.

SSL/TLSвключает в себя три основных фазы: 1) Диалог между сторонами, целью которого является выбор алгоритма шифрования; 2) Обмен ключами на основе криптосистем с открытым ключом или аутентификация на основе сертификатов; 3) Передача данных, шифруемых при помощи симметричных алгоритмов шифрования.

2.4 Реализация VPN: IPSec или SSL/TLS?

Зачастую перед руководителями IT подразделений стоит вопрос: какой из протоколов выбрать для построения корпоративной сети VPN? Ответ не очевиден так как каждый из подходов имеет как плюсы, так и минусы. Постараемся провести анализ и выявить когда необходимо применять IPSec, а когда SSL/TLS. Как видно из анализа характеристик этих протоколов они не являются взаимозаменяемыми и могут функционировать как отдельно, так и параллельно, определяя функциональные особенности каждой из реализованных VPN.

Выбор протокола для построения корпоративной сети VPN можно осуществлять по следующим критериям:

· Тип доступа необходимый для пользователей сети VPN.

1. Полнофункциональное постоянное подключение к корпоративной сети. Рекомендуемый выбор – протокол IPSec.

2. Временное подключение, например, мобильного пользователя или пользователя использующего публичный компьютер, с целью получения доступа к определенным услугам, например, электронной почте или базе данных. Рекомендуемый выбор – протокол SSL/TLS, который позволяет организовать VPN для каждой отдельной услуги.

· Является ли пользователь сотрудником компании .

1. Если пользователь является сотрудником компании, устройство которым он пользуется для доступа к корпоративной сети через IPSec VPN может быть сконфигурировано некоторым определенным способом.

2. Если пользователь не является сотрудником компании к корпоративной сети которой осуществляется доступ, рекомендуется использовать SSL/TLS. Это позволит ограничить гостевой доступ только определенными услугами.

· Каков уровень безопасности корпоративной сети.

1. Высокий. Рекомендуемый выбор – протокол IPSec. Действительно, уровень безопасности предлагаемый IPSec гораздо выше уровня безопасности предлагаемого протоколом SSL/TLS в силу использования конфигурируемого ПО на стороне пользователя и шлюза безопасности на стороне корпоративной сети.

2. Средний. Рекомендуемый выбор – протокол SSL/TLS позволяющий осуществлять доступ с любых терминалов.

3. В зависимости от услуги – от среднего до высокого. Рекомендуемый выбор – комбинация протоколов IPSec (для услуг требующих высокий уровень безопасности) и SSL/TLS (для услуг требующих средний уровень безопасности).

· Уровень безопасности данных передаваемых пользователем.

1. Высокий, например, менеджмент компании. Рекомендуемый выбор – протокол IPSec.

2. Средний, например, партнер. Рекомендуемый выбор – протокол SSL/TLS.

В зависимости от услуги – от среднего до высокого. Рекомендуемый выбор – комбинация протоколов IPSec (для услуг требующих высокий уровень безопасности) и SSL/TLS (для услуг требующих средний уровень безопасности).

· Что важнее, быстрое развертывание VPN или масштабируемость решения в будущем.

1. Быстрое развертывание сети VPN с минимальными затратами. Рекомендуемый выбор – протокол SSL/TLS. В этом случае нет необходимости реализации специального ПО на стороне пользователя как в случае IPSec.

2. Масштабируемость сети VPN – добавление доступа к различным услугам. Рекомендуемый выбор – протокол IPSec позволяющий осуществление доступа ко всем услугам и ресурсам корпоративной сети.

3. Быстрое развертывание и масштабируемость. Рекомендуемый выбор – комбинация IPSec и SSL/TLS: использование SSL/TLS на первом этапе для осуществления доступа к необходимым услугам с последующим внедрением IPSec.

3. Методы реализации VPN сетей

Виртуальная частная сеть базируется на трех методах реализации:

· Туннелирование;

· Шифрование;

· Аутентификация.

3.1 Туннелирование

Туннелирование обеспечивает передачу данных между двумя точками – окончаниями туннеля – таким образом, что для источника и приемника данных оказывается скрытой вся сетевая инфраструктура, лежащая между ними.

Транспортная среда туннеля, как паром, подхватывает пакеты используемого сетевого протокола у входа в туннель и без изменений доставляет их к выходу. Построения туннеля достаточно для того, чтобы соединить два сетевых узла так, что с точки зрения работающего на них программного обеспечения они выглядят подключенными к одной (локальной) сети. Однако нельзя забывать, что на самом деле «паром» с данными проходит через множество промежуточных узлов (маршрутизаторов) открытой публичной сети.

Такое положение дел таит в себе две проблемы. Первая заключается в том, что передаваемая через туннель информация может быть перехвачена злоумышленниками. Если она конфиденциальна (номера банковских карточек, финансовые отчеты, сведения личного характера), то вполне реальна угроза ее компрометации, что уже само по себе неприятно. Хуже того, злоумышленники имеют возможность модифицировать передаваемые через туннель данные так, что получатель не сможет проверить их достоверность. Последствия могут быть самыми плачевными. Учитывая сказанное, мы приходим к выводу, что туннель в чистом виде пригоден разве что для некоторых типов сетевых компьютерных игр и не может претендовать на более серьезное применение. Обе проблемы решаются современными средствами криптографической защиты информации. Чтобы воспрепятствовать внесению несанкционированных изменений в пакет с данными на пути его следования по туннелю, используется метод электронной цифровой подписи (ЭЦП). Суть метода состоит в том, что каждый передаваемый пакет снабжается дополнительным блоком информации, который вырабатывается в соответствии с асимметричным криптографическим алгоритмом и уникален для содержимого пакета и секретного ключа ЭЦП отправителя. Этот блок информации является ЭЦП пакета и позволяет выполнить аутентификацию данных получателем, которому известен открытый ключ ЭЦП отправителя. Защита передаваемых через туннель данных от несанкционированного просмотра достигается путем использования сильных алгоритмов шифрования.

3.2 Аутентификация

Обеспечение безопасности является основной функцией VPN. Все данные от компьютеров-клиентов проходят через Internet к VPN-серверу. Такой сервер может находиться на большом расстоянии от клиентского компьютера, и данные на пути к сети организации проходят через оборудование множества провайдеров. Как убедиться, что данные не были прочитаны или изменены? Для этого применяются различные методы аутентификации и шифрования.

Для аутентификации пользователей PPTP может задействовать любой из протоколов, применяемых для PPP

· EAP или Extensible Authentication Protocol;

· MSCHAP илиMicrosoft Challenge Handshake Authentication Protocol (версии 1 и 2);

· CHAP или Challenge Handshake Authentication Protocol;

· SPAP или Shiva Password Authentication Protocol;

· PAP или Password Authentication Protocol.

Лучшими считаются протоколы MSCHAP версии 2 и TransportLayerSecurity (EAP-TLS), поскольку они обеспечивают взаимную аутентификацию, т.е. VPN-сервер и клиент идентифицируют друг друга. Во всех остальных протоколах только сервер проводит аутентификацию клиентов.

Хотя PPTP обеспечивает достаточную степень безопасности, но все же L2TP поверх IPSec надежнее. L2TP поверх IPSec обеспечивает аутентификацию на уровнях «пользователь» и ‘компьютер’, а также выполняет аутентификацию и шифрование данных.

Аутентификация осуществляется либо отрытым тестом (cleartextpassword), либо по схеме запрос / отклик (challenge/response). С прямым текстом все ясно. Клиент посылает серверу пароль. Сервер сравнивает это с эталоном и либо запрещает доступ, либо говорит «добро пожаловать». Открытая аутентификация практически не встречается.

Схема запрос / отклик намного более продвинута. В общем виде она выглядит так:

· клиент посылает серверу запрос (request) на аутентификацию;

· сервер возвращает случайный отклик (challenge);

· клиент снимает со своего пароля хеш (хешем называется результат хеш-функции, которая преобразовывает входной массив данных произвольной длины в выходную битовую строку фиксированной длины), шифрует им отклик и передает его серверу;

· то же самое проделывает и сервер, сравнивая полученный результат с ответом клиента;

· если зашифрованный отклик совпадает, аутентификация считается успешной;

На первом этапе аутентификации клиентов и серверов VPN, L2TP поверх IPSec использует локальные сертификаты, полученные от службы сертификации. Клиент и сервер обмениваются сертификатами и создают защищенное соединение ESP SA (securityassociation). После того как L2TP (поверх IPSec) завершает процесс аутентификации компьютера, выполняется аутентификация на уровне пользователя. Для аутентификации можно задействовать любой протокол, даже PAP, передающий имя пользователя и пароль в открытом виде. Это вполне безопасно, так как L2TP поверх IPSec шифрует всю сессию. Однако проведение аутентификации пользователя при помощи MSCHAP, применяющего различные ключи шифрования для аутентификации компьютера и пользователя, может усилить защиту.

3.3. Шифрование

Шифрование с помощью PPTP гарантирует, что никто не сможет получить доступ к данным при пересылке через Internet. В настоящее время поддерживаются два метода шифрования:

· Протокол шифрования MPPE или MicrosoftPoint-to-PointEncryption совместим только с MSCHAP (версии 1 и 2);

· EAP-TLS и умеет автоматически выбирать длину ключа шифрования при согласовании параметров между клиентом и сервером.

MPPE поддерживает работу с ключами длиной 40, 56 или 128 бит. Старые операционные системы Windows поддерживают шифрование с длиной ключа только 40 бит, поэтому в смешанной среде Windows следует выбирать минимальную длину ключа.

PPTP изменяет значение ключа шифрации после каждого принятого пакета. Протокол MMPE разрабатывался для каналов связи точка-точка, в которых пакеты передаются последовательно, и потеря данных очень мала. В этой ситуации значение ключа для очередного пакета зависит от результатов дешифрации предыдущего пакета. При построении виртуальных сетей через сети общего доступа эти условия соблюдать невозможно, так как пакеты данных часто приходят к получателю не в той последовательности, в какой были отправлены. Поэтому PPTP использует для изменения ключа шифрования порядковые номера пакетов. Это позволяет выполнять дешифрацию независимо от предыдущих принятых пакетов.

Оба протокола реализованы как в MicrosoftWindows, так и вне ее (например, в BSD), на алгоритмы работы VPN могут существенно отличаться. В NT (и производных от нее системах). Основные сведения приведены в таблице. [Приложение 6]

Таким образом, связка «туннелирование + аутентификация + шифрование» позволяет передавать данные между двумя точками через сеть общего пользования, моделируя работу частной (локальной) сети. Иными словами, рассмотренные средства позволяют построить виртуальную частную сеть.

Дополнительным приятным эффектом VPN-соединения является возможность (и даже необходимость) использования системы адресации, принятой в локальной сети.

Реализация виртуальной частной сети на практике выглядит следующим образом. В локальной вычислительной сети офиса фирмы устанавливается сервер VPN. Удаленный пользователь (или маршрутизатор, если осуществляется соединение двух офисов) с использованием клиентского программного обеспечения VPN инициирует процедуру соединения с сервером. Происходит аутентификация пользователя – первая фаза установления VPN-соединения. В случае подтверждения полномочий наступает вторая фаза – между клиентом и сервером выполняется согласование деталей обеспечения безопасности соединения. После этого организуется VPN-соединение, обеспечивающее обмен информацией между клиентом и сервером в форме, когда каждый пакет с данными проходит через процедуры шифрования / дешифрования и проверки целостности – аутентификации данных.

Основной проблемой сетей VPN является отсутствие устоявшихся стандартов аутентификации и обмена шифрованной информацией. Эти стандарты все еще находятся в процессе разработки и потому продукты различных производителей не могут устанавливать VPN-соединения и автоматически обмениваться ключами. Данная проблема влечет за собой замедление распространения VPN, так как трудно заставить различные компании пользоваться продукцией одного производителя, а потому затруднен процесс объединения сетей компаний-партнеров в, так называемые, extranet-сети.

Заключение

В данном реферате мы рассмотрели протоколы и методы реализации частных виртуальных сетей. Преимущества технологии VPN в том, что организация удалённого доступа делается не через телефонную линию, а через Интернет, что намного дешевле и лучше. Недостаток технологии VPN в том, что средства построения VPN не являются полноценными средствами обнаружения и блокирования атак. Они могут предотвратить ряд несанкционированных действий, но далеко не все возможности, которые могут использоваться для проникновения в корпоративную сеть. Но, несмотря на все это технология VPN имеет перспективы на дальнейшее развитие.

Чего же можно ожидать в плане развития технологий VPN в будущем? Без всякого сомнения, будет выработан и утвержден единый стандарт построения подобных сетей. Скорее всего, основой этого стандарта будет, уже зарекомендовавший себя протокол IPSec. Далее, производители сконцентрируются на повышении производительности своих продуктов и на создании удобных средств управления VPN. Скорее всего, развитие средств построения VPN будет идти в направлении VPN на базе маршрутизаторов, так как данное решение сочетает в себе достаточно высокую производительность, интеграцию VPN и маршрутизации в одном устройстве. Однако будут развиваться и недорогие решения для небольших организаций. В заключение, надо сказать, что, несмотря на то, что технология VPN еще очень молода, ее ожидает большое будущее.

Используемая литература:

1. Лукацкий А. Неизвестная VPN / Компьютер Пресс.-М.: №10, 2001; abn.ru/inf/compress/network4.shtml

2. Норманн Р. Выбираем протокол VPN /Windows IT Pro. – М.: №7, 200;

www.osp.ru/win2000/2001/07/010.htm

3. Петренко С. Защищенная виртуальная частная сеть: современный взгляд на защиту конфиденциальных данных / Мир Internet. – М.: №2, 2001;

4. Салливан К. Прогресс технологии VPN. PCWEEK/RE, – М.: №2, 1999;

5. Файльнер М. Виртуальные частные сети нового поколения LAN/Журнал сетевых решений, – М.: №11, 2005;

www.osp.ru/lan/2005/11/030.htm

6. Фратто М. Секреты виртуальных частных сетей. Сети и системы связи, №3, 1998;

7. Штайнке С. VPN между локальными сетями. LAN/Журнал сетевых решений, – М.: №10,1998;

8. www.hub.ru/archives/2269

9. www.informit.com

10. www.mirreferatov.com

11. www.osp.ru/pcworld/2008/09

12. www.referat.su

13. www.ssl.stu.neva.ru/psw/crypto/pptp.html

14. www.xakep.ru

15. www.xserver.ru/computer/protokol/razn/13/

---

С этим файлом связано 1 файл(ов). Среди них: Эссе Кобелев Александр 11б.docx.
Показать все связанные файлы

---

Подборка по базе: экология реферат.docx, Қ тарих реферат.docx, ЖМБ Реферат.docx, Теории предпринимательства реферат.docx, Титульный лист для реферата (1).doc, Титульный лист для реферата.doc, ивт реферат.rtf, история реферат (1).docx, 22 и 24 вопрос два реферата — 2.doc, 1 реферат.doc

---

Муниципальное бюджетное образовательное учреждение

Березовская средняя общеобразовательная школа №2

Реферат

Виртуальная частная сеть (VPN)

Выполнил: Кобелев Александр

Ученик 11 Б класса

Проверил: Учитель информатики

Паршаков Дмитрий

с. Березовка

2022

Содержание

Введение

В 1996 году сотрудник Microsoft разработал первый способ развертывания VPN — протокол PPTP (Point-to-Point Tunneling Protocol). Он создавал более безопасное частное соединение между устройством пользователя и интернетом.

Но в начале зачатки VPN возникли в США в 60-х годах прошлого века. Правда, тогда они использовались для телефонных сетей. Только потом эти наработки стали использоваться и в компьютерных технологиях.

В наше время сеть VPN используется даже рядовыми пользователями интернета.

Технология VPN изначально разрабатывалась только крупными компаниями и организациями для собственных целей, и она не предназначалась для обычных онлайн-пользователей. Компаниям нужен был безопасный и конфиденциальный метод, чтобы сделать возможным общение и обмен файлами между различными офисами, а также позволить сотрудникам удаленно получать доступ к важным файлам без риска кражи конфиденциальных данных неавторизованными пользователями.
Ну, вот где VPN вступили в игру. Они предоставили сотрудникам доступ к частной бизнес-сети, что позволило им просматривать данные компании из любой точки мира, как если бы они находились в офисе.
Со временем начали внедряться более мощные стандарты шифрования для дальнейшей защиты бизнес-коммуникаций.

Изначально технологию разработали для обеспечения безопасной и конфиденциальной удаленной работы.

Представьте: сотрудник банка отправился работать на удаленку, а получать доступ к рабочей информации ему теперь необходимо из дома. Как сделать это не затратно и безопасно?

Для решения такой проблемы и придумали виртуальную частную сеть.
Компьютеры объединяются в единую сеть, работа между которыми строится на определенных принципах.

Сеть не привязана к физическим каналам связи, то есть не нужно протягивать провода вручную, – это здорово облегчает коммуникацию и экономит средства. Подключиться к виртуальной сети можно из любой точки планеты.

Для обеспечения безопасности данные внутри сети шифруются. Подключиться к сети не сможет кто угодно — его попросту не пустят без нужного доступа. Именно поэтому в названии и фигурирует слово «частная», то есть сеть не для всех. Так сотрудники получили доступ к общим файлам без острой необходимости находиться рядом с сервером и без страха допустить утечку информации.

Что такое VPN?

VPN (англ. Virtual Private Network — виртуальная частная сеть) — это безопасное зашифрованное подключение пользователя к сети
Виртуальная сеть — значит, что на ее работу не влияет то, по каким и скольким каналам связи она проложена. Потому что физическая сеть (группа компьютеров или устройств, соединенных общими каналами связи) не принадлежит пользователю виртуальной.
Частная сеть — это значит, что в ней может находиться ограниченный круг лиц. VPN маркирует всех ее участников и передаваемую ими информацию. Данные защищаются от третьих лиц путем шифрования. VPN отвечает за то, чтобы данные оставались конфиденциальными, не пускает посторонних пользователей, проверяет источник трафика и следит, чтобы передаваемые данные не утекали за пределы сети в открытом виде.

Типы VPN

Есть два основных типа:
Удаленный доступ. Позволяет подключаться к корпоративной сети по частному зашифрованному туннелю. Это актуально при работе с ненадежной точкой доступа вроде публичного Wi-Fi;
«Узел-узел». Применяется преимущественно в корпоративной среде, в частности, когда у компании несколько офисов с разным местоположением. Он соединяет основной офис с филиалами: так создается закрытая внутренняя сеть, где все офисы подключены между собой.

Как VPN шифрует данные?

VPN шифрует данные с помощью протоколов:
OpenVPN — оптимален по набору характеристик (скорости, степени защиты и надежности). Применяется в качестве основного большинством VPN-сервисов. Его плюс — открытый исходный код. Это позволяет сторонним разработчикам изучать его и искать уязвимости. Если ее находят, компанию-владельца быстро уведомляют о необходимости ее устранить;
L2TP/IPSec — основная альтернатива OpenVPN. Впрочем, репутация у него значительно ниже. Последние утечки говорят о том, что у Агентства национальной безопасности США (АНБ) есть к нему ключи шифрования;
IKEv2 — подходит для работы на смартфонах. Главная особенность — возможность автоматического переподключения к сети при обрыве соединения (например, в тоннеле метро). Другое его преимущество — высокая скорость передачи данных. Среди недостатков — ограниченное количество совместимых операционных систем и сложность установки;
SSTP — идеальный протокол для работы с компьютером на Windows, официально поддерживается Microsoft и является ее собственной разработкой. Легко настраивается, быстро работает. Минус — сложность установки на других операционных системах;PPTP — популярный и при этом самый ненадежный протокол. У него высокая скорость подключения и крайне низкий уровень защиты. Доказано, что у АНБ США есть ключи шифрования у нем

VPN в повседневной жизни

Да, может пригодиться, поскольку он делает сеть надежнее даже при работе с домашнего Wi-Fi.

Эксперты «Лаборатории Касперского» рассказали, что провайдер может передавать историю браузера рекламодателям и другим третьим лицам. Пользователи также могут пострадать от кибератак, в результате чего их личные данные получат преступники
В 2017 году в США отменили правило, по которому провайдеры передавали личные данные клиентов третьим лицам только по согласию пользователей. С того момента у них появилось право делиться почти любой информацией о пользователях — геолокацией, историей перемещений, поиска и любыми другими сведениями, которые они собирают.
Сеть VPN решает эту проблему. Она перекрывает провайдеру доступ к вашим данным.
Повышенная защита нужна и при использовании публичных точек Wi-Fi. Прежде всего, нет гарантии, что эти сети надежно защищены от хакеров. Так, в марте 2018 года Android-разработчик Владимир Серов обнаружил, что оператор Wi-Fi в Московском метро «МаксимаТелеком» хранил данные более чем 12 млн своих пользователей в незашифрованном виде, из-за чего доступ к ним мог получить любой человек. Как пояснили в «МаксимаТелеком», при помощи Серова уязвимость была выявлена и своевременно устранена. Впоследствии компания переработала систему авторизации так, чтобы исключить атаки с подменой адреса устройства.

По данным Positive Technologies, занимающейся разработкой решений в сфере информационной безопасности, взлом общественного Wi-Fi — один из любимых хакерами способов сбора личных данных. Лучше не платить за товары и услуги через публичный Wi-Fi. Злоумышленники могут получить данные для перевода денег с карты, включая CVV-код.

Однако включенный VPN не позволит злоумышленнику идентифицировать вас и шпионить.

Плюсы и минусы VPN

VPN нужен:

1. чтобы объединить разные части одной компании

Руководство может находиться в Москве, бухгалтеры работать из Твери, а специалисты – по всей России;

1. для удаленной работы

Сотрудники могут работать, где угодно, при этом находиться в одной системе и получать доступ ко всей информации;

1. для изоляции информации у определенных отделов внутри компании

Если кому-то нужен частный доступ;

1. для обеспечения частичной анонимности и конфиденциальности

ВПН не сохраняют историю браузера, скрывают местоположение и так далее;

1. для обхода блокировок

Если ресурсы запрещены на территории одной страны, можно подключиться через ВПН к серверу из другой страны, где доступ не заблокирован, и воспользоваться нужным интернет-ресурсом;

1. для безопасного подключения

Не секрет, что подключение к общедоступному Wi-Fi не является безопасным, а вот подключение к ВПН защищает данные;

1. чтобы не предоставлять свою информацию сайтам, хакерам и иным лицам

Минусы VPN:

1. Стоимость услуг VPN-сервисов зависит от того, какие возможности они могут предоставить пользователям. Вам придется провести небольшое исследование, чтобы убедиться, что за свои деньги вы получаете максимум пользы.
2. Бесплатные сервисы не настолько же безопасны, более того — иногда именно они могут выступать основной угрозой безопасности пользователей.
3. Пропускная способность канала, скорость доступа, возможность смены серверов — все это может быть ограничено согласно условиям выбранного тарифа.

Как правительство регулирует VPN?

В России в 2017 году появился закон о запрете на обход блокировок, что как раз и делают VPN-сервисы. Согласно нему, для россиян даже с иностранным IP-адресом сайты, внесенные в реестр запрещенных, должны быть заблокированы.
В марте 2019 года Роскомнадзор обязал владельцев VPN-сервисов подключиться к реестру ФГИС, где указан перечень запрещенных на территории РФ сайтов, чтобы они также блокировали к ним доступ.
На исполнение требования отводилось 30 дней, после чего сервисы могли заблокировать. Уведомления разослали десяти компаниям. В итоге лишь один сервис — Kaspersky Secure Connection — подключился к реестру, другие отказались или проигнорировали требование ведомства, но заблокированы не были.
Летом того же года в Роскомнадзоре сказали, что не планируют никого банить, эффективнее VPN-сервисы штрафовать.
Но в июле Россия заняла второе (после Индии) место в мире по числу скачиваний VPN-сервисов, благодаря которым интернет-пользователи могут читать заблокированные сайты. Только за первые три недели июля VPN скачали более 12 миллионов раз (в январе 2022 года, до вторжения России в Украину и блокировки соцсетей и неугодных российским властям медиа, было всего два миллиона скачиваний). В июле же в России началась массовая информационная кампания против VPN-сервисов. Блогеры и чиновники практически идентичными постами в соцсетях призывают россиян удалять приложения и обвиняют их во вредоносных свойствах, называя VPN «проблемой 2022 года».

Авторы постов утверждают, что такие сервисы вредят батарее смартфона, сильнее расходуют интернет-трафик и продают личные данные пользователей.
В некоторых публикациях говорится, что эти сервисы «майнят крипту».

В 2022 году Роскомнадзор начал активно блокировать популярные сервисы VPN, которые не подчинялись требованиям правительства, ситуация начинается сходится с Китаем, где использование ВПН – преступление.

Преимущества платного VPN

700 и больше рублей в месяц за одну подписку для доступа к интернету, учитывая, что вы уже платите за мобильный и домашний интернет, – это не мало.
Давайте рассмотрим, что можно получить за эти деньги:

• безопасность – вы платите за работу ВПН, значит, у сервисов меньше поводов зарабатывать на стороне;
• высокую скорость – бесплатные серверы часто бывают перегружены;
• безлимитный трафик – сидеть в интернете можно сколько угодно;
• большой выбор серверов;
• техподдержку.
• У платных VPN серверы обычно надежнее, есть резервные машины, а поломки устраняют очень быстро — ведь иначе клиенты уйдут к конкурентам.

Бесплатный VPN

• Наполнен рекламой
• Перегруженные/заполненные сервера
• Очень низкая скорость
• Риск передачи информации 3-им лицам
• Часто используется устаревшее оборудование и ПО, что повышает их уязвимость в отношении хакеров.
• Отсутствие стабильности, в любой момент может закрыться, ведь владельцы в основном держатся только на энтузиазме.

Но его главное преимущество – он бесплатный, перекрывает большинство вышеуказанных минусов.

Мифы о его работе

1. Только преступники используют виртуальные частные сети VPN

Преступники для своих целей могут использовать все: автомобили, самолеты, средства связи, инструменты, современные технологии, в том числе и виртуальные частные сети, однако, это не повод не пользоваться всеми достижениями цивилизации нам, законопослушным гражданам всего мира. Возможно, что вначале технологиями VPN в основном воспользовались те, кому требовалось обойти гео-ограничение, чтобы получить доступ к контенту, недоступному в каком-либо регионе. В первую очередь это требовалось жителям угнетённых стран для того, чтобы избежать цензуры и правительственных ограничений, но это не является основной причиной для применения VPN. Главной причиной, по которой любой среднестатистический пользователь Интернета должен использовать VPN, — это то, что VPN обеспечивает шифрование всего потока информации. Даже если, предположить маловероятное, ваше соединение будет взломано, а информация похищена, никакой злоумышленник не сможет расшифровать украденные данные, слишком велики будут временные и финансовые затраты на дешифровку

1. Использование VPN замедлит скорость соединения

Иногда клиенты виртуальных частных сетей говорят, что VPN замедляет скорость соединения. В принципе, это возможно, но в современных туннельных протоколах безопасности скорость значительно увеличилась. И вряд ли небольшое снижение скорости соединения может служить причиной для отказа от безопасности. Первое, что нужно понимать, от вас тоже зависит скорость вашего соединения. На скорость влияет местоположение сервера, который вы выбираете (виртуальные частные сети маршрутизируют ваше соединение через выделенные удаленные серверы), чем дальше сервер — тем медленнее соединение или больше время задержки.

1. Все виртуальные частные сети VPN одинаковы

Это не так, виртуальные частные сети имеют довольно большие различия. С точки зрения главных функций VPN, действительно, все VPN-провайдеры выполняют шифрование данных и создают безопасное VPN-подключение, однако, различные VPN имеют разные технические возможности. Во-первых, существует множество различных способов шифрования данных в вашем устройстве с использованием разных протоколов шифрования, обеспечивающих различные уровни эффективности. Далее, соединение происходит между устройством и выделенными серверами VPN, которые действуют в качестве шлюза в Интернет. Эти соединения также могут быть выполнены с помощью протоколов безопасности, которые шифруют ваше интернет-соединение: PPTP, L2TP , OpenVPN, WireGuard, IKEv2, IPSec. Протокол PPTP обеспечивает самый простой уровень связи, не всегда включают в себя шифрование и не очень подходит для передачи конфиденциальных данных

1. Если я использую VPN, то могу делать все, что захочу!

Виртуальные частные сети действительно обеспечивают высокий уровень безопасности, конфиденциальности и анонимности в сети Интернет. Загрузив программное обеспечение VPN, вы сможете лично убедиться в том, что ваши данные в неизменном состоянии будут доставлены только получателю, и никому другому, потому что VPN-соединение практически невозможно обнаружить и, тем более, расшифровать. VPN защитит вас от широкого спектра интернет — угроз, но, к сожалению, не от всех. Угроза №1 — стара, как мир, и имя ей – человеческая глупость

Можно ли пользоваться VPN?
Использование VPN-сервисов в России не запрещено, законодательство страны не предусматривает никакой ответственности для людей, которые устанавливают подобные решения для выхода в интернет.
Первый зампред комитета Госдумы по информационной политике, информационным технологиям и связи Александр Ющенко объяснил «360», что использование VPN не нарушает российское законодательство, так как под запретом только распространение определенной информации, которая внесена в соответствующий список.
«У нас в стране запрещено распространение некоторого контента. На это есть Роскомнадзор — специальная служба, которая занимается тем, чтобы запрещенные экстремистские, террористические сайты не функционировали» — Александр Ющенко.

Почему блокируют VPN-сервисы?

В России действительно идет борьба с недобросовестными VPN-сервисами, которые нарушают российское законодательство и предоставляют доступ к запрещенным ресурсам или злоупотребляют данными пользователей.
Александр Ющенко подчеркнул, что РКН, как надзорное ведомство, следит за тем, чтобы сервисы и приложения не нарушали российское законодательство, а если это происходит, предпринимает необходимые меры. Иностранным провайдерам VPN предлагают внести в черный список сайты, признанные в России экстремистскими. Если сервис отказывается выполнять требования, его могут заблокировать.
«Можно залатать дыры, блокируя самых злостных нарушителей, но надо понимать, что есть добросовестные легальные VPN-сервисы, которые берегут данные своих клиентов, переживают за это и являются хорошим сервисом. Это как с блокировкой сайтов или отдельных страниц с нелегальным контентом — примерно такая же борьба: сложная, иногда кажется, что бессмысленная, но иногда приносящая результаты», — заключил Геллер.

А выводы пользоваться ли VPN каждый решает сам.

Список литературы

Интернет-источники:

1. https://360tv.ru/tekst/obschestvo/otvetstvennost-za-vpn/
2. https://ru.wikipedia.org/wiki/VPN
3. https://habr.com/ru/post/534250/