Виртуальные частные сети (VPN - virtual private network) это сети, которые создаются с помощью «туннелей» в сети Интернет. Вместо выделенного физического соединения VPN использует виртуальное соединение, маршрутизируемое через Интернет, между удаленными офисами компании.
Для организации туннелей VPN компанией Cisco был разработан туннельный протокол - Generic Routing Encapsulation (GRE). Этот протокол инкапсулирует трафик сетевого уровня и создает виртуальные соединения «точка-точка».
VPN представляет собой коммуникационную среду со строго ограниченным доступом и шифрованием данных, которые обеспечивают защиту канала.
Технология VPN имеет ряд преимуществ.
1. Низкая стоимость услуг - VPN позволяет использовать дешевые Интернет каналы для связи с удаленными офисами и пользователями. Дополнительно снижение стоимости происходит за счет возможности за счет разделения канала.
2. Безопасность – VPN предоставляет высокий уровень безопасности с помощью протоколов аутентификации и шифрования.
3. Масштабируемость – VPN использует инфраструктуру Интернет предоставляемую Интернет сервис провайдером (ISP), что упрощает добавление новых пользователей без изменения инфраструктуры.
|
|
4. Совместимость с широкополосными (broadband) технологиями – VPN позволяет получать высокоскоростной доступ к ресурсам сети мобильным пользователям, использующим широкополосные соединения.
VPN соединяет две удаленные точки через общую сеть с помощью логического соединения. Логическое соединение реализуется на канальном или сетевом уровне модели OSI. Наиболее часто логические соединения устанавливаются на сетевом уровне при поддержке протоколов GRE, MPLS (multi protocol label switching) и IPsec.
Соединение «точка-точка» устанавливается с помощью протоколов GRE и IPsec, а соединение «каждый с каждым» устанавливается с помощью MPLS. Наш курс посвящен вопросам безопасности, поэтому в дальнейшем будет рассматриваться использование VPN с IPsec.
Существует две топологии VPN – «удаленный офис– удаленный офис» (Site-to-site) и «удаленный доступ» (Remote-access).
Топология site-to-site создается, когда соединение VPN поддерживается устройствами обоих сторон. Внутренние узлы сетей не знают о существовании VPN.
Узлы, соединяемые с помощью топологии site-to-site VPN, отправляют и принимают обычный трафик TCP/IP через шлюз VPN.
Шлюз VPN выполняет инкапсуляцию и шифрование исходящего трафика, посылаемого через VPN тоннель VPN шлюзу назначения. Поступающий трафик дешифруется, распаковывается и передается узлу назначения.
Шлюзы имеют равноправную архитектуру (peer – to –peer).
Топология remote-access VPN создается, когда информации о соединении VPN динамически меняется (может быть создано новое соединение или разорвано существующее).
|
|
Примером может служить мобильный пользователь, которому необходимо получить удаленный доступ к ресурсам компании. VPN канал ему необходим только на время сеанса связи. При этом, его ip-адрес может меняться в зависимости от его места нахождения.
Remote-access VPNs поддерживает клиент-серверную архитектуру, в которой клиент требует безопасный доступ к сети предприятия через VPN сервер.
Рассмотрим оборудование, поддерживающее технологию VPN.
Маршрутизаторы и коммутаторы Cisco, поддерживающие VPN – применяются для повышения возможностей существующих сетей различного размера по применению VPN и усилению безопасности на одном сетевом устройстве.
Cisco PIX 500 Series Security Appliances – обеспечивает комплекс сетевой безопасности для сети предприятия. Обеспечивает поддержку проверки протоколов и IPsec VPN. Применяется для ограничения «чистой» ДМЗ. Снят с производства, но есть на складах.
Cisco ASA 5500 Series Adaptive Security Appliances – мощное устройство обеспечения безопасности, с поддержкой IPsec VPN, предназначенное для использования в сетях больших предприятий.
Cisco VPN 3000 Series Concentrators –обеспечивает IPsec и SSL VPN соединения для однотипной среды передачи.
Сети VPN используют много протоколов для своей поддержки. Эти протоколы предоставляют различные возможности, такие как: безопасность, туннелирование и инкапсуляцию в другие протоколы.
Протокол GRE (Generic Routing Encapsulation — общая инкапсуляция для маршрутизации ) - обеспечивает инкапсуляцию многих типов пакетов в туннели IP для создания виртуальных каналов между удаленными маршрутизаторами Cisco (разработан компанией Cisco).
Протокол L2F (Layer 2 Forwarding — протокол пересылки уровня 2 ) – создаетвиртуальную частную коммутируемую сеть (VPDN - Virtual Private Dialup Network) для удаленных домашних офисов, объединяя их в сеть предприятия (разработан компанией Cisco).
Протокол РРТР (Point-to-Point Tunneling Protocol — протокол туннелирования соединения точка-точка ) – обеспечивает защищенную передачу данных от удаленного клиента к серверу предприятия с помощью создания сети VPN над IP -сетями с поддержкой маршрутизацию по требованию (разработан Microsoft).
Протокол L2TP (Layer 2 Tunnel Protocol — протокол туннелирования РРР- уровня 2 ) – позволяет создавать сети VPDN и объединяет возможности туннельных протоколов РРТР и L2F (разработан Cisco и Microsoft).
Протокол МРРЕ (Microsoft Point-to-Point Encryption — протокол Microsoft шифрованиясоединения точка-точка ) – шифрует пакеты РРР и позволяет создать защищенную VPN-связь через коммутируемую или удаленную сеть.
Набор протоколов IPSec (IP Security) – обеспечивает защищенную передачу данных по открытым сетям
Механизмы IPSec
Возможности IPSec
Набор протоколов IPSec, является стандартом для поддержки технологии VPN. IPSec предоставляет механизмы передачи данных в открытых IP-сетях с поддержкой конфиденциальности, целостности и достоверности.
· Конфиденциальность данных. IPSec обеспечивает шифрование пакетов, передаваемых по сети.
· Целостность данных. IPSec использует механизмы, гарантирующие, что данные не были изменены в процессе передачи.
· Аутентификация источника данных. IPSec использует механизм обмена ключами между сетями (Internet Key Exchange - IKE) для аутентификации отправителя информации.
· Согласование ключей - IPSec использует алгоритм DH для обмена открытыми ключами и создания общего секретного ключа.
Протокол IKE
IKE это гибридный протокол, который объединяет методы обмена ключами Oakley и SKEME в рамках протокола ISAKMP (Internet Security Association and Key Management Protocol — межсетевой протокол управления ассоциациями и ключами защиты). В IPSec протокол IKE используется для аутентификации сторон, управления созданием и обработкой ключей и для согласования параметров ассоциаций защиты IPSec.
|
|
Преимущества использования протокола IKE
· Исключается ручное описание всех параметров ассоциации защиты для обеих сторон IPSec.
· Предоставляется возможность защищенного выбора ключей.
· Указывается время существования ассоциации защиты IPSec.
· Предоставляется возможность смены ключей шифрования в сеансах IPSec.
· Применяется защита от воспроизведения.
· Поддерживаются центры сертификации, что упрощает управление и масштабирования IPSec.
· Предоставляется динамическая аутентификация сторон.
Протоколы IPSec
Для поддержки IPSec используются протоколы, отвечающие за различные задачи.
Протоколы IPSec.
· Протокол АН (Authentication Header — заголовок аутентификации) – обеспечивает аутентификацию и (опционально) выявление воспроизведения. Протокол АН работает по принципу цифровой подписи и защищает данные от несанкционированного изменения.
· Протокол ESP (Encapsulating Security Payload — инкапсуляция данных для безопасности) - обеспечивающий конфиденциальность данных с помощью шифрования и (опционально) аутентификацию отправителя.
Конфиденциальность данных.
· Алгоритм DES (Data Encription Standard — стандарт шифрования данных) – используется для шифрования данных в IPSec и IKE. Алгоритм DES использует 56-битовый ключ и является симметричным алгоритмом шифрования с одинаковыми секретными ключами шифрования для взаимодействующих сторона.
· "Тройной" DES (3DES) – использует три итерации алгоритма DES с тремя разными ключами, что усиливает стойкость DES. Применяется для шифрования и дешифрования с использованием 168-битного ключа.
· Алгоритм AES (Advanced Encryption Standard – повышенный стандарт шифрования) – является симметричным алгоритмом шифрования с использованием ключей длиной 128, 192 и 256 бит, что делает его более мощным, чем DES и 3DES.
· Алгоритм SEAL (Software-Optimized Encryption Algorithm – программно оптимизированный алгоритм шифрования) - является симметричным алгоритмом шифрования с использованием ключа длиной 160 бит.
Целостность данных.
· Алгоритм MD5 (Message Digest 5 — профиль (хэш код) сообщения 5) – применяется для определения целостности данных. С помощью MD5 вычисляется код НМАС (Hashed Message Authentication Code — хэшированный код аутентичности сообщения). Хэширование это необратимое шифрование, в результате которого сообщение произвольной длины преобразуется в вывод фиксированной длины. Использует общий ключ длиной 128 бит.
|
|
· Алгоритм SHA-1 (Secure Hash Algorithm-1 — защищенный алгоритм хэширования 1) – используется для определения целостности данных. Использует общий или секретный ключ длиной 160 бит.