Българско онлайн списание

Подсигуряването на VPN потоци с данни изисква използването на ком­бинация от технологии, предоставящи идентификация, тунелиране и криптиране. IP-базираните VPN предоставят IP тунелиране между две мрежови устройства, или сайт към сайт, или клиент към сайт. Данните, изпращани между двете устройства, се криптира, създавайки по този начин сигурен мрежов път през съществуващата IP мрежа. Тунелирането е начин за създаване на виртуален път или връзка от точка до точка между две устройства през Интернет. Повечето имплементации на VPN използват тунелиране за създаване на частен мрежов път между две ус­тройства.

Протоколи за тунелиране

Съществуват три широко използвани протокола за VPN тунелиране: IP Security (IPSec), Point-to-Point Tunneling Protocol (РРТР) и Layer 2 Tun­neling Protocol (L2TP). Въпреки че много хора виждат тези три прото­кола като конкуриращи се технологии, те предлагат различни възмож­ности, които са подходящи за различни употреби.

IPSec

IPSec предоставя услуги за защита на целостта, удостоверяване и (евен­туално) поверителността и защита от атаки с повторения за IP трафика. IPSec пакетите са два вида:

• IP протокол 50, наречен формата Encapsulating Security Payload (ESP), предоставящ поверителност, удостоверяване и цялост.
• IP протокол 51, наречен формата Authentication Header (AH), кой­то предоставя само цялост и удостоверяване за пакетите, но не и поверителност.

IPSec може да бъде използван в два режима: транспортен режим, който подсигурява съществуващ IP пакет от из­точника до получателя, и тунелен режим, който поставя съществуващ IP пакет в нов IP пакет, който се изпраща в IPSec формат до крайна точ­ка на тунела. И двата режима могат да бъдат капсулирани в ESP или АН хедъри.

Транспортният режим на IPSec е проектиран да предоставя сигурност за IP трафик между две комуникиращи системи – например за защита на TCP връзка или UDP дейтаграма. Тунелният режим на IPSec е проекти­ран предимно за мрежови междинни точки, маршрутизатори или шлю­зове, за да защитава друг IP трафик в IPSec тунел, свързващ една частна IP мрежа с друга частна IP мрежа през публична или ненадеждна IP мрежа (например Интернет). И в двата случая се извършва сложно до­говаряне на сигурността между двата компютъра посредством Internet Key Exchange (IKE).

Много имплементации на IKE предоставят разнообразие от методи за удостоверяване на устройствата, за да установят доверие между ком­пютрите. След най-често срещаните са:

• Предварително споделени тайни фрази
• Криптирани нонсове (известни също и като публични ключове в прав вид)
• Подписани сертификати (Х.509)

Когато са конфигурирани според IPSec политика, компютрите участни­ци договарят параметри, за да създадат сигурен VPN тунел посредством IKE фаза 1 за установяване на базова асоциация за сигурност за целия трафик между двата компютъра. Това включва удостоверяване на устройства посредством някой от изброените по-горе методи и генериране на набор от ключове. Данните, обменени посредством асоциацията за си­гурност, са много добре защитени срещу промяна или подслушване от атакуващи субекти, които може да се намират в мрежата. Ключовете се обновяват автоматично в съответствие с настройките на IPSec полити­ката, за да се предостави съответна защита според политиката, дефини­рана от администратора.

Спецификациите за IPSec тунелния протокола Internet Engineering Task Force (IETF) не включваха механизми за VPN клиенти с отдалечен дос­тъп. Липсващата функционалност включва възможности за удостоверя­ване на потребител и конфигуриране на клиентски IP адреси. Това е ко­ригирано в Интернет предложения за дефиниции на стандартни методи за разширяемо потребителско-базирано удостоверяване и присвояване на адреси. Тези допълнения бяха разгледани подробно в глава 2. Преди всичко трябва да се уверите във възможността за съвместна ра­бота на различните производители преди да се замислите за съвместна работа, защото всички производители разширяват протокола по свой собствен начин. Например дори и два производителя да заявяват, че поддържат Интернет предложенията Extended Authentication (Xauth) или Mode Configuration (ModeConfig), имплементациите може и да не могат да работят заедно.

Транспортният режим на IPSec за АН или ESP е приложим само за хост имплементации, при които хостовете (т.е. IPSec участниците) са изпра­щачи и получатели на защитавания трафик. Тунелният режим на IPSec за АН или ESP е приложим едновременно за хостове и шлюзови имп­лементации, въпреки че шлюзове за сигурност трябва да използват ту­нелен режим. Всички сайт към сайт VPN и клиент към сайт VPN изпол­зват някакъв вид шлюз за сигурност, и поради това тунелният режим на IPSec се използва за повечето VPN внедрявания.

Посетете уеб сайта и на нашите онлайн приятели и партньори от студио Уеб дизайн Пловдив и разгледайте техните невероятни web услуги включващи уеб дизайн, програмиране на бизнес системи и софтуер, изработка на бизнес динамични сайтове, Интернет реклама и маркетинг и много други.