Опубликован: 13.08.2008 | Уровень: специалист | Доступ: платный | ВУЗ: Московский государственный технический университет им. Н.Э. Баумана
Лекция 8:

Информационная безопасность в IP-сетях телефонии

< Лекция 7 || Лекция 8: 1234 || Лекция 9 >

8.6. Обеспечение безопасности IP-телефонии на базе VPN

VPN (Virtual Private Network) - виртуальная частная сеть. Технология VPN позволяет подключать удаленных пользователей к локальной сети по защищенным каналам связи через общедоступные сети (например, Интернет).

Удаленные пользователи - это:

  • сотрудники, работающие в компании с разветвленной инфраструктурой, то есть в таких компаниях, которые имеют несколько офисов, складов, магазинов, расположенных в разных районах города, в различных городах или странах;
  • сотрудники, чья работа связана с разъездами, однако им необходим доступ в локальную сеть компании.
Структурная схема VPN для удаленных пользователей

Рис. 8.6. Структурная схема VPN для удаленных пользователей

Технология VPN предусматривает организацию безопасности передаваемых данных по общедоступным сетям путем их шифрования.

Для организации VPN необходимы:

  • канал доступа для центрального офиса, каждого подразделения или пользователя. Это может быть как выделенная, так и коммутируемая линия;
  • оборудование узла доступа в центральном офисе (VPN-сервер), оборудование доступа для каждого подразделения или пользователя (VPN-клиент). В качестве VPN-сервера может выступать как специализированное оборудование, так и обычный маршрутизатор.

Существуют три условия восприятия VPN:

  1. защита трафика, основанная на криптографии;
  2. средство коммуникации, так как гарантия защиты доступа к внутренним ресурсам из любой точки страны или мира создает предпосылки применения информационных систем для удаленного доступа;
  3. средство влияния на стратегию развития коммуникационных систем корпорации: вместо того чтобы вкладывать огромные средства в строительство собственных выделенных линий, вы достаточно быстро можете получить надежно защищенные каналы связи взаимодействия с коммуникационными провайдерами.

Основная задача VPN - защита трафика. Эта задача исключительно сложна уже на криптографическом уровне. Необходимо, в первую очередь, обладать надежной криптографией, гарантирующей защиту от прослушивания, изменения, отказа от авторства, иметь надежную систему управления ключами, защищать от атак и проверять работоспособность абонента в данный момент (это обеспечивается протоколом IKE).

Следующим требованием является обеспечение масштабируемости конкретной VPN. Наиболее успешно для этого применяются программные VPN-агенты, которые могут обеспечить защиту трафика на всех типах компьютеров - рабочих станциях, серверах и шлюзах (на выходе из локальных сетей в открытые сети). Вторая составляющая масштабируемости - централизованное, целостное и оперативное управление VPN.

Ни одна криптозащита, построенная на открытой криптографии, не может существовать без инфраструктуры открытых ключей - PKI (Public Key Infrastructure), в задачу которой входит:

  • создание и подпись сертификатов, что требует наличия иерархической системы нотариусов, так как пользователь VPN должен получать свой сертификат по месту работы, а не ездить за ним, например, в центральный офис или в какую-то иную организацию;
  • передача сертификатов на электронный носитель пользователя (смарт-карта, e-token, дискета) и публикация их на сервере сертификатов с тем, чтобы любой участник VPN мог легко получить сертификат своего партнера;
  • регистрация фактов компрометации и публикация "черных" списков отозванных сертификатов.

VPN должна взаимодействовать с системой PKI в целом ряде точек. Это взаимодействие с чуждой по отношению к VPN системой может осуществляться только при условии полной поддержки международных стандартов, которым удовлетворяет большинство современных PKI-систем.

Обычно VPN различает только отдельные компьютеры, но не их пользователей. Но иногда требуется, чтобы VPN отличала отдельных пользователей и отдельные приложения. Пользователь должен получить одну и ту же конфигурацию VPN независимо от того, за каким компьютером он сидит. Все необходимые для этого данные (ключи, сертификаты, конфигурация) находятся на его смарт-карте, электронном ключе или дискете. Если корпорация использует так называемые серверы доступа (технология single-sign-on), то VPN должна работать совместно с такой системой, не подключая VPN тем пользователям, которые не прошли авторизацию в системе аутентификации.

VPN образует "непроницаемые" каналы связи поверх открытых сетей. В реальной жизни организации всегда требуется, чтобы сотрудники имели доступ из VPN в открытые сети и Интернет. Контроль в критичной точке контакта с открытой сетью должен осуществляться межсетевыми экранами. Более правильная ситуация: VPN обеспечивает функции межсетевого экрана в каждой точке, где есть ее агент. Такой "распределенный" межсетевой экран контролируется из того же центра безопасности. Межсетевой экран и VPN являются комплементарными системами, решая две связанные задачи:

  • использование открытых сетей в качестве канала недорогой связи (VPN);
  • обеспечение защиты от атак из открытых сетей при работе с открытой информацией, содержащейся в этих сетях (межсетевой экран).

Гарантируя защиту передаваемой информации, VPN не обеспечивает ее защиту во время хранения на конечных компьютерах. Эта задача решается целым рядом специальных средств:

  • систем криптозащиты файлов и дисков (а также почты);
  • систем защиты от несанкционированного доступа к компьютерам;
  • антивирусных систем и т. п.

Туннелирование (tunneling), или инкапсуляция (encapsulation), - это способ передачи полезной информации через промежуточную сеть. Такой информацией могут быть кадры (или пакеты) другого протокола. При инкапсуляции кадр не передается в сгенерированном узлом-отправителем виде, а снабжается дополнительным заголовком, который содержит информацию о маршруте, адресе инициатора туннеля и адресе терминатора туннеля, позволяющую инкапсулированным пакетам проходить через промежуточную сеть (Интернет). На конце туннеля терминатором туннеля кадры деинкапсулируются и передаются получателю.

Этот процесс (включающий инкапсуляцию и передачу пакетов) и есть туннелирование. Логический путь передвижения инкапсулированных пакетов в транзитной сети называется туннелем.

VPN работает на основе протокола PPP (Point-to-Point Protocol). Протокол PPP разработан для передачи данных по телефонным линиям и выделенным соединениям "точка-точка" - xDSL, он способен поддерживать и многоканальные соединения - ISDN, X.25, Frame Relay и при необходимости расширять пропускную способность за счет подключения нескольких параллельных каналов (MP - MultiLink Protocol). PPP инкапсулирует (способ обеспечения мультиплексирования нескольких транспортных протоколов по одному каналу) пакеты IP, IPX и NetBIOS в кадры PPP и передает их по каналу "точка-точка". Протокол PPP может использоваться маршрутизаторами, соединенными выделенным каналом, или клиентом и сервером RAS, соединенными удаленным подключением.

Основные компоненты PPP

Протоколы управления сетью

Протокол LCP (Link Control Protocol) является частью PPP и служит для установки, настройки и проверки канала связи. LCP обеспечивает согласование формата инкапсуляции, размера пакета, параметры установки и разрыва соединения, а также параметры аутентификации.

IPCP (IP Control Protocol) - протокол управления IP, аналогичный LCP.

Для формирования туннелей VPN используются протоколы PPTP, L2TP, IPsec, IP-IP.

Протокол PPTP (Point-to-Point Tunneling Protocol) - протокол, позволяющий компьютеру устанавливать защищенное соединение с сервером за счет создания специального туннеля в стандартном соединении с локальной сетью. PPTP формирует кадры PPP в датаграммах IP для передачи по глобальной сети IP типа Интернет.

Протокол L2TP (Layer-2 Tunneling Protocol) позволяет шифровать и передавать IP-трафик с использованием любых протоколов, поддерживающих режим "точка-точка" доставки дейтаграмм.

Протокол IP-IP: IP-дейтаграмма инкапсулируется с помощью дополнительного заголовка IP. Главное назначение IP-IP - туннелирование многоадресного трафика в частях сети, не поддерживающих многоадресную маршрутизацию.

Протокол IPsec (Internet Protocol Security) позволяет шифровать и инкапсулировать полезную информацию протокола IP в заголовки IP для передачи по IP-сетям. IPSec описывает все стандартные методы VPN. Этот протокол определяет методы идентификации при инициализации туннеля, методы шифрования, используемые конечными точками туннеля, и механизмы обмена и управления ключами шифрования между этими точками. Говоря об IPSec, нельзя забывать о протоколе IKE (Internet Key Exchange), позволяющем обеспечить передачу информации по туннелю, исключая вмешательство извне. Этот протокол решает задачи безопасного управления и обмена криптографическими ключами между удаленными устройствами, в то время как IPSec кодирует и подписывает пакеты. IKE автоматизирует процесс передачи ключей, используя механизм шифрования открытым ключом для установления безопасного соединения. Помимо этого, IKE позволяет производить изменение ключа для уже установленного соединения, что значительно повышает конфиденциальность передаваемой информации.

Структурная схема VPN для двух офисных сетей

Рис. 8.7. Структурная схема VPN для двух офисных сетей

VPN ( рис. 8.7) представляет собой объединение отдельных машин или локальных сетей в виртуальной сети, которая обеспечивает целостность и безопасность передаваемых данных. Она обладает свойствами выделенной частной сети и позволяет передавать данные между двумя компьютерами через промежуточную сеть, например, Интернет.

< Лекция 7 || Лекция 8: 1234 || Лекция 9 >
Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

Алишер Фозилов
Алишер Фозилов
Таджикистан, г.Худжанд, ТГУК
Роман Бырка
Роман Бырка
Россия