Виртуальные частные сети

В последние годы, когда все большее число компаний для обеспечения связи стали использовать глобальную сеть Internet, рынок виртуальных частных сетей (Virtual Р§Щ|е Network — VPN) значительно вырос и расширился. По мере того, как появляются новые стандарты, службы, программные и аппаратные продукты, технологии VPN-сетей также претерпевают значительные изменения. Это, однако, привело к то- му, что компании, которые желают реализовать у себя VPN-сети, испытывают труд- Г носга ,в понимании того, что представляют собой эти сети, какие службы предостав- * ляют различные типы VPN и какой тип VPN-ссти является для них оптимальным.

Попытка ясно определить и классифицировать VPN-сети представляет собой непростую задачу, которая, видимо, будет решена лишь в будущем. В настоящей главе не ставится цель дать всеобъемлющее определение VPN-сетей, а лишь описываются различные технологии таких сетей.

Определение сетей VPN

Частная виртуальная сеть VPN представляет собой логическую сеть, которая функционирует в уже существующей физической сетевой инфраструктуре. По сравнению с традиционными способами построения частных сетей путем использования выделенных линий для соединения географически удаленных друг от друга офисов компа- 0ВРний, современные частные VPN-сети являются виртуальными в том смысле, что сетевые устройства и ,соединения (кабели и т.д., в частности, оборудование Internet) применяемые для их построения, используются также и другими компаниями. Как и рацее использовавшиеся частные сети, сети VPN обеспечивают конфиденциальность передаваемых данных. Каналы при этом выделяются отдельным пользователям, которые могут иметь свою собственную систему IP-адресации, свои схемы маршрути- ^аации и проводят собственную политику безопасности.

^Определение "частная" в терминологии VPN-сетей может также рассматриваться в контексте обеспечения безопасности. Вопрос о том, какие возможности обеспечения безопасности могут предоставить службы VPN, все чаще ставится компаниями п|и реализации ими своих частных виртуальных сетей.

М Д€лёсообразно сначала рассмотреть пример VPN-сети, использующей выделенные . линии, такой, например, как сеть Frame Relay. Такие сети иногда называют 8», "вызывающими доверие" (trusted), поскольку в этом случае пользователь доверяет решение вопросов надежности и безопасности устройствам провайдера. В действительности такой тип VPN-сети реальной безопасности не обеспечивает.

По мере того как все большее число компаний использует Internet в качестве магистрали своих VPN-сетей, предположение о безопасности таких сетей перестает быть верным. Более того, именно данные, передаваемые по сети Internet более подвержены атакам, таким как нарушение конфиденциальности, целостности или прослушивание идентификационных данных. Поэтому для таких VPN-сетей становятся критически важными меры по обеспечению безопасности и предотвращению возможных атак, включая защиту конфиденциальности, целостности данных и аутентификацию. В качестве таких мер при передаче данных по сети Internet используются туннельные технологии и алгоритмы шифрования. Такие VPN-сети называются безопасными (secure).

На основе данного определения все современные технологии VPN-сетей можно разделить на две категории.

•          Надежные VPN-технологии. Наиболее многообещающими из них являются технологии, основанные на MPLS-коммутации с использованием протокола BGP или протокола L2VPN.

•          Безопасные VPN-технологии. Наиболее популярными являются технологии IPSec, L2TP или L2TP с использованием протоколов IPSec и РРТР. В последние годы использование технологии IPSec де-факто стало стандартом обеспечения безопасности в VPN-сетях.

VPN-приложения

VPN-технологии применяются в следующих ситуациях.

•          Сети интранет (intranet). С помощью VPN-технологий компании могут использовать глобальную сеть Internet в качестве магистрали для связи своих географически удаленных друг от друга узлов через VPN-сети.

•          Сети экстранет (extranet). В таких сетях VPN-технологии могут использоваться для быстрого создания соединений по требованию между компанией и ее бизнес-партнерами.

•          Сети удаленного доступа. Используя VPN-сеть удаленные пользователи могут получить доступ к корпоративной сети, зарегистрировавшись у регионального провайдера службы Internet (Internet service provider — ISP). Это значительно более эффективно в финансовом отношении, чем традиционное поддержание самой компанией большого банка модемов.

Технология IPSec

Международная группа, организованная при проблемной группе Internet (Internet Engineering Task Force — IETF) разработала набор протоколов IPSec (IPSecurity — IPSec) для обеспечения безопасности при передаче данных протокола IP на сетевом уровне. Стек протоколов IPSec описан в нескольких RFC. В нем используются различные технологии шифрования для выполнения ключевых функций обеспечения безопасности против наиболее типичных угроз в сети Internet. Ниже дано краткое описание этих служб.

•          Аутентификация гарантирует, что устройство VPN-сети осуществляет связь именно с требуемым узлом.

•    Конфиденциальность данных обеспечивается посредством их шифрования.

•          Поддержка целостности данных обеспечивает предотвращение изменения данных в процессе передачи.

Ниже приведены некоторые ключевые технологии шифрования, используемые стеком протоколов IPSec для поддержки описанных выше служб безопасности.

•          Алгоритмы шифрования содержимого (контента — content) обычно являются симметричными алгоритмами. Наиболее часто используются алгоритмы DES, 3DES и AES.

•          Криптографические символы "hard-to-invert" и "strong collision-free" некоторых хэш-алгоритмов используются для генерирования цифровой подписи, аутентификации и обеспечения целостности данных конкретного сообщения. В протоколе IPSec используется хэш-функция с ключом для генерирования кода аутентификации основанного на хэш-функции с ключом сообщения (Keyed Hash-Based Message Authentication Code — HMAC) в целях аутентификации источника данных и проверки их целостности. В качестве хэш-алгоритмов в протоколе IPSec используются алгоритмы MD5 и SHA-1.

•          Протокол обмена ключами Диффи-Хеллмана (Diffie-Hellman — DH) позволяет двум VPN-устройствам безопасно сгенерировать общий секретный код по небезопасному каналу без предварительного совместно используемого кода. После завершения взаимной DH-идентификации два одноранговых устройства VPN- сети могут создать безопасный канал, который защищает обмен сообщениями между ними во время обсуждения параметров безопасности протокола IPSec

•          Инфраструктура открытого ключа (Public Key Infrastructure — PKI) состоит из протоколов, стандартов и служб, которые поддерживают применение алгоритмов открытого ключа. В отличие от алгоритмов шифрования контента, алгоритмы открытого ключа являются асимметричными. Каждое устройство генерирует два математически связанных ключа. Один из них, общедоступный (открытый) ключ предоставляется всему домену, а соответствующий конфиденциальный ключ остается секретным. Даже при наличии общедоступного ключа вычисление секретного ключа является математически невозможным. Это свойство делает алгоритмы открытого ключа полезными как для шифрования, так и для использовании цифровых подписей. Алгоритм RSA является наиболее известным примером алгоритма общедоступного ключа. При посредстве соответствующей организации, осуществляющей сертифицирование (Certificate Authority — СА), каждое VPN-устройство в системе PKI может логически связать свой общедоступный ключ со своими идентификационными данными, такими как IP-адрес и полностью определенное доменное имя, используя сертификат, полученный от СА. При использовании в VPN-сети с протоколом IPSec система PKI обеспечивает службы безопасности, такие как аутентификация и предотвращение несанкционированного изменения передаваемой информации.

Структура VPN-сети, использующей технологию IPSec, включает в себя следующие компоненты.

•          Заголовок аутентификации (Authentication Header — АН) добавляется к IP-пакету для аутентификации источника данных и проверки целостности данных.

•          Нагрузка безопасности (Encapsulating Security Payload — ESP) — обеспечивает шифрование, аутентификацию источника и проверку целостности данных.

•          Протокол ассоциаций безопасности и управления ключами Internet (Internet Security Association and Key Management Protocol — ISAKMP) и протокол обмена Internet-ключами (Internet Key Exchange — IKE) позволяют VPN-устройствам безопасно обсуждать параметры безопасности (Security Association — SA) и управлять ими в процессе генерации, обмена и управления ключами, используемыми для алгоритмов шифрования в протоколе IPSec.

В последующих разделах отдельно обсуждаются следующие темы:

•     Заголовок аутентификации;

•      Нагрузка обеспечения безопасности;

•     Транспортный режим и туннельный режим протокола IPSc;

•      Параметры безопасности;

•      Протокол обмена Internet-ключами.

Заголовок аутентификации

Определенный в RFC 2402 заголовок аутентификации (Authentication Header — АН) добавляется протоколом IPSec к IP-дейтаграмме. Он находится между IP-заголовком и заголовком протокола 4-го (транспортного) уровня. Как правило, он представляет собой ключевой код аутентификации НМАС, вычисленный на основе полезной нагрузки протокола IP и IP-заголовка, кроме случая переменных полей, которые изменяются при передаче, таких как поле TTL. Проверка заголовка АН дает получателю возможность выполнить аутентификацию источника данных и их целостность. На рис. 18.1 показан формат заголовка АН.

Рис. 18.1. Заголовок аутентификации Заголовок содержит следующие поля.

•                      Поле заголовка следующего уровня (1 байт) указывает АН-протокол более высокого уровня, такой как TCP или UDP.

•                      Величина нагрузки безопасности (1 байт) задает длину АН-заголовка.

•          2 зарезервированных байта для будущего использования (в настоящее время они устанавливаются равными нулю).

•          Индекс параметров безопасности (Security Parameters Index — SPI) (4 байта) задает набор параметров безопасности, также называемых нагрузкой безопасности для IPSec-соединения.;

•          Номер в последовательности (4 байта) отражает порядок IPSec-пакетов для предотвращения атаки воспроизведения.

•          Поле данных аутентификации (переменного размера) содержит результат проверки целостности (Integrity Check Value — ICV) для IP-пакета.

АН-пакеты представляют собой IP-пакеты, соответствующие протоколу типа 51.

Нагрузка безопасности

Понятие нагрузки безопасности (Encapsulating Security Payload — ESP) определено в RFC 2406. В отличие от заголовка АН, инкапсуляция ESP гарантирует конфиденциальность данных путем шифрования IP-пакетов. Необходимо отметить, что ESP- аутентификация не охватывает IP-заголовок.

На рис. 18.2 показан формат инкапсуляции ESP.

Рис. 18.2. Инкапсуляция нагрузки безопасности

Поля включают в себя следующие компоненты.

•          Индекс параметров безопасности (Security Parameters Index — SPI) (4 байта) задает набор параметров, известных также как нагрузка безопасности для IPSec- соеди нения.

•          Номер в последовательности (4 байта) задает порядок следования IPSec-пакетов для предотвращения атаки воспроизведения.

Приведенные ниже поля шифруются:

•          Поле данных полезной нагрузки содержит конкретные данные, передаваемые в IP-пакете.

•          Заполнитель (от 0 до 255 байтов) используется для того, чтобы весь обычный текст состоял из нескольких блоков равной длины, что требуется некоторыми

алгоритмами шифрования, которые оперируют блоками данных или требуют упорядочения данных;

•          Длина заполнителя (1 байт) задает длину заполнителя, описанного в предыдущем пункте.

•          Поле следующего заголовка (1 байт) определяет тип протокола данных, переносимых в поле данных полезной нагрузки;

•          Поле данных аутентификации (переменной длины) содержит результат проверки целостности данных (Integrity Check Value — ICV). В отличие от случая использования заголовка АН, ESP-проверка целостности данных не включает в себя IP-заголовок.

Транспортный и туннельный режимы IPSec

Как АН, так и ESP имеют два режима инкапсуляции — транспортный и туннельный (рис. 18.3).

В транспортном режиме IP-заголовок первоначального IP-пакета используется в качестве IP-заголовка пакета IPSec, а сам IPSec-заголовок вставляется между IP-заголовком и полезной нагрузкой протокола IP. В туннельном режиме протокол IPSec инкапсулирует весь первоначальный IP-пакет, а к пакету IPSec добавляется новый IP-заголовок.

В туннельном режиме обеспечивается ограниченный уровень конфиденциальности потока данных за счет скрытия информации об IP-адресе первоначального пакета.

Рис. 18.3. Транспортный и туннельный режимы протокола IPSec

Литература:

Руководство по технологиям объединенных сетей, 4-е издание. : Пер. с англ. — М.: Издательский дом «Вильяме», 2005. — 1040 с.: ил. – Парал. тит. англ.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете оставить ответ, или trackback с вашего собственного сайта.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100