Вступ. Мережа Internet є загальновживаною та загальнодоступною. Мережа Internet побудована на принципах відкритих систем. Інформація передається по загальнодоступних каналах, тому потенційно можливе порушення конфіденційності, цілісності та доступності інформації. Одним з ефективних підходів до захисту інформації від наведених загроз є технологія VPN.
Метою роботи є аналіз технології захисту інформації у віртуальних приватних мереж.
Основна частина. Абревіатура VPN розшифровується як Virtual Private Network - "віртуальна приватна мережа". Суть цієї технології в тому, що при підключенні до VPN сервера за допомогою спеціального програмного забезпечення поверх загальнодоступної мережі у вже встановленому з'єднанні організується зашифрований канал, що забезпечує високий рівень захисту каналу інформації. У загальному випадку VPN - це об'єднання локальних мереж або окремих комп'ютерів, підключених до мережі загального користування, в єдину віртуальну (накладену) мережу, що забезпечує конфіденційність і цілісність переданої інформації. Використання технології VPN доцільно для захист корпоративної мережі від дії вірусів, зловмисників, а також від інших загроз, які є результатом помилок в конфігурації або адміністрування мережі.
Можна виділити три основні технології захисту інформації що перетворюють накладену корпоративну мережу, побудовану на базі мережі загального користування, у захищену віртуальну приватну мережу:
-
шифрування;
-
аутентифікація;
-
контроль доступу.
Тільки реалізація всіх цих трьох властивостей дозволяє захистити інформаційні ресурси корпорації та фізично незахищені канали зв'язку від несанкціонованого доступу та витоку інформації [3; c. 66].
Архітектура VPN
Всі продукти для створення VPN можна умовно розділити на дві категорії: програмні і апаратні. Програмне рішення для VPN - це, як правило, готовий додаток, що встановлюється на підключеному до мережі окремому комп'ютері.
Оскільки для побудови VPN на базі спеціалізованого програмного забезпечення потрібне створення окремої комп'ютерної системи, такі рішення зазвичай складніше для розгортання, ніж апаратні. Створення подібної системи передбачає конфігурування сервера для розпізнавання даного комп'ютера і його операційної системи, VPN-пакета, мережевих плат для кожного з'єднання і спеціальних плат для прискорення операцій шифрування.
Розгортати апаратно VPN, безумовно легше. Для цього необхідно підключити мережеве обладнання (комутатори, концентратори, маршрутизатори), які підтримують VPN протоколи.
Можна виділити чотири основні варіанти побудови мережі VPN [1; c. 86].
Варіант "Intranet VPN". Дозволяє об'єднати в єдину захищену мережу кілька розподілених філій однієї організації, що взаємодіють по відкритих каналах зв'язку. Саме цей варіант отримав широке поширення у всьому світі, і саме його в першу чергу реалізують компанії-розробники.
Варіант "Remote Access VPN". Реалізує захищене взаємодія між сегментом корпоративної мережі (центральним офісом або філією) і одиночним користувачем, який підключається до корпоративних ресурсів з дому (домашній користувач) або через ноутбук (мобільний користувач). Віддалений користувач, як правило, не має статичної адреси, він підключається до захищеного ресурсу не через виділений пристрій VPN, а зі свого власного комп'ютера, на якому і встановлене програмне забезпечення, що реалізовує функції VPN.
Варіант "Client / Server VPN". Технологія забезпечує захист переданих даних між двома вузлами корпоративної мережі. Особливість даного варіанта в тому, що VPN будується між вузлами, що перебувають, як правило, в одному сегменті мережі, наприклад, між робочою станцією і сервером. Така необхідність дуже часто виникає в тих випадках, коли в одній фізичній мережі необхідно створити декілька логічних мереж.
Останній варіант "Extranet VPN" призначений для мереж, до яких підключаються так звані користувачі "з боку" (партнери, замовники, клієнти і т.д.), рівень довіри до яких набагато нижче, ніж до своїх співробітників.
Тунелювання
Тунелювання (tunneling) або інкапсуляція (encapsulation) - це спосіб передачі інформації через проміжну мережу. Такою інформацією можуть бути кадри (або пакети) іншого протоколу. При інкапсуляції кадр не передається в згенерованому вузлом-відправником вигляді, а забезпечується додатковим заголовком, містить інформацію про маршрут, що дозволяє інкапсульованим пакетам проходити через проміжну мережу (Internet). На кінці тунелю кадри деінкапсулюються і передаються одержувачу.
Цей процес (що включає інкапсуляцію і передачу пакетів) і є тунелюванням. Логічна топологія транзитної мережі пересування інкапсульованих пакетів називається тунелем.
VPN-пристрій розташовується між внутрішньою мережею і Internet на кожному кінці з'єднання. Під час передачі даних через VPN, вони зникають "з поверхні" в точці відправлення і знову з'являються тільки в точці призначення. Завдяки тунелюванню приватна інформація стає невидимою для інших користувачів. Перш ніж потрапити в Internet-тунель дані шифруються, що забезпечує їх додатковий захист. Протоколи шифрування визначаються VPN-рішенням. Розглянемо протоколи які використовує VPN.
Протокол PPTP
PPTP (Point-to-Point Tunneling Protocol) - тунельний протокол "точка-точка ". Протокол PPTP є розширенням протоколу PPP (Point-to-Point Protocol - протокол «точка-точка») і використовує механізми перевірки автентичності, стиснення і шифрування цього протоколу [2; c. 338].
Інкапсуляція. Кадр PPP поміщається в оболонку з заголовком GRE (Generic Routing Encapsulation) і заголовком IP. У заголовку IP-адреси відправника і отримувача відповідають VPN-клієнту і VPN-сервера.
Протокол L2TP
L2TP (Layer Two Tunneling Protocol) - протокол тунелювання другого рівня. L2TP використовує засоби шифрування, які надаються методом IPSec. Комбінацію L2TP та IPSec називають L2TP/IPSec. Комбінація L2TP/IPSec забезпечує роботу служб VPN, що виконують інкапсуляцію і шифрування приватних даних.
Протокол L2TP встановлюється разом з протоколом TCP/IP. У залежності від параметрів, вибраних у майстрі настройки сервера маршрутизації та віддаленого доступу [1; c. 258].
Інкапсуляція пакетів L2TP/IPSec виконується в два етапи.
-
Інкапсуляція L2TP. Кадр PPP (IP-датаграма або IPX-датаграма) поміщається в оболонку з заголовком L2TP і заголовком UDP.
-
Потім отримане L2TP-повідомлення поміщається в оболонку з заголовком і трейлером IPSec ESP (Encapsulating Security Payload), трейлером перевірки автентичності IPSec, що забезпечує цілісність повідомлення та перевірку справжності, і заголовком IP.
У заголовку IP-адреси відправника і отримувача відповідають VPN-клієнту і VPN-сервера. Повідомлення L2TP шифрується з використанням стандарту DES (Data Encryption Standard) або 3DES за допомогою ключів шифрування, створених у процесі узгодження IKE (Internet Key Exchange - обмін ключами в Інтернеті) [1; c. 328].
Протокол IPSec
Протокол IPSec (Internet Protocol Security) являє собою систему відкритих стандартів, призначених для забезпечення захищених конфіденційних підключень через IP-мережі з використанням криптографічних служб безпеки. Протокол IPSec підтримує однорангову перевірку справжності на рівні мережі, перевірку автентичності джерела даних, цілісність даних, їх конфіденційність (шифрування) і захист повторення.
Ядро IPSec складають три протоколи: протокол аутентифікації (Authenti-cation Header, AH), протокол шифрування (Encapsulation Security Payload, ESP) і протокол обміну ключами (Internet Key Exchange, IKE) [2; с. 340 ].
Функції з підтримання захищеного каналу розподіляються між цими протоколами наступним чином:
-
протокол AH гарантує цілісність і автентичність даних;
-
протокол ESP шифрує передані дані, гарантуючи конфіденційність, але він може також підтримувати аутентифікацію та цілісність даних;
-
протокол IKE вирішує допоміжну задачу автоматичного надання кінцевим точкам каналу секретних ключів, необхідних для роботи протоколів аутентифікації і шифрування даних.
Для шифрування даних в IPSec може бути застосований будь-який симетричний алгоритм шифрування, що використовує секретні ключі[2; с. 344].
Висновки. На основі аналізу технологій захисту інформації корпоративних мереж найефективнішим методом захисту VPN є тунелювання на основі протоколів PPTP, L2TP, IPSeс, інкапсульованих в TCP/IP пакетах. При інкапсуляції VPN використовуються симетричні алгоритми криптографії.
Література:
1. Браун Стівен. Віртуальні приватні мережі./ Стівен Браун – М.: Радио и связь, 2001 – 376 с.
2. Владимиров А.А. WI-фу Боевые приемы взлома и защиты беспроводных сетей /А.А. Владимиров, К.В. Гавриленхо, А.А. Михайловский – М.: NT-Press, 2005 – С. 338-347.
3. Медведев Н. Г. Аспекти інформаційної системи віртуальних приватних мереж / Н. Г. Медведев, Д.В. Москалик – К.: Европ. ун–та 2002 – 96 с.
Науковий керівник:
кандидат технічних наук, доцент, Гузій Микола Миколайович