 |
В виде программного решения
|
|
|
|
Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.
Интегрированное решение
Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.
По назначению [править | править вики-текст]
Intranet VPN
Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.
Remote Access VPN
Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративного ноутбука, смартфона или c компьютера общественного пользования.
Extranet VPN
Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.
Internet VPN
Используется для предоставления доступа к интернету провайдерами, обычно если по одному физическому каналу подключаются несколько пользователей. Протокол PPPoE стал стандартом в ADSL-подключениях.
PPTP/L2TP без шифрования были широко распространены в середине-конце 2000-х годов в домовых сетях: в те времена внутрисетевой трафик не оплачивался, а внешний стоил дорого. Это давало возможность контролировать расходы: когда VPN-соединение выключено, пользователь ничего не платит. В настоящее время (2015) средняя цена на проводной доступ к Интернету существенно снизилась, а трафик, как правило, является безлимитным. В итоге решения на базе туннельных протоколов становятся избыточными для данной отрасли, зачастую даже обременительными для клиентских устройств маршрутизации SOHO-класса, которые в последнее время получили широкое распространение.
|
|
|
Client/Server VPN
Он обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающимся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, но вместо разделения трафика используется его шифрование.
По типу протокола [править | править вики-текст]
Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его. Адресация в нём чаще всего выбирается в соответствии со стандартом RFC5735, из диапазона Приватных сетей TCP/IP.
По уровню сетевого протокола [править | править вики-текст]
По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.
По доступу [править | править вики-текст]
VPN могут быть как платными, так и бесплатными, со свободным доступом для всех пользователей интернета. Бесплатные VPN критикуют за низкий уровень защищенности данных, подозревают в сборе информации о пользователях и продаже данных злоумышленникам.
|
|
|
MPLS (англ. m ulti p rotocol l abel s witching — многопротокольная коммутация по меткам) — механизм в высокопроизводительной телекоммуникационной сети, осуществляющий передачу данных от одного узла сети к другому с помощью меток.
MPLS является масштабируемым и независимым от каких-либо протоколов механизмом передачи данных. В сети, основанной на MPLS, пакетам данных присваиваются метки. Решение о дальнейшей передаче пакета данных другому узлу сети осуществляется только на основании значения присвоенной метки без необходимости изучения самого пакета данных. За счёт этого возможно создание сквозного виртуального канала, независимого от среды передачи и использующего любой протокол передачи данных.
Содержание
[скрыть]
· 1История
· 2Достоинства
· 3Принцип работы
o 3.1Пространство значений меток
o 3.2Установка и удаление туннелей
o 3.3Сравнение MPLS и IP
· 4Построение сетей
· 5Альтернативы
· 6См. также
· 7Примечания
· 8Литература
История[править | править вики-текст]
В 1996 году группа инженеров из фирмы «Ipsilon Networks» разработала «Протокол управления потоком» (англ. f low m anagement p rotocol; RFC 1953)[1].
Основанная на этом протоколе технология «коммутации IP-пакетов» (англ. IP switching), работающая только поверх упрощенной сети ATM, не получила коммерческого успеха. Фирма «Cisco Systems» разработала похожую технологию «коммутации на основе тегов» (англ. t ag s witching), не ограниченную передачей поверх сети ATM[2].
Данная технология, впоследствии переименованная в «коммутацию на основе меток» (англ. l abel s witching), была закрытой разработкой фирмы «Cisco». Позднее она была передана в специальную комиссию интернет-разработок (IETF) для открытой стандартизации.
Достоинства[править | править вики-текст]
MPLS позволяет достаточно легко создавать виртуальные каналы между узлами сети.
Технология позволяет инкапсулировать различные протоколы передачи данных.
Основным преимуществом MPLS являются
· независимость от особенностей технологий канального уровня, таких как ATM, Frame Relay, SONET/SDH или Ethernet;
· отсутствие необходимости поддержания нескольких сетей второго уровня, необходимых для передачи различного рода трафика. По виду коммутации MPLS относится к сетям с коммутацией пакетов.
|
|
|
Технология MPLS была разработана для организации единого протокола передачи данных как для приложений с коммутацией каналов, так и приложений с коммутацией пакетов (подразумеваются приложения с датаграммной передачей пакетов). MPLS может быть использован для передачи различного вида трафика, включая IP-пакеты, ячейки ATM, фреймы SONET/SDH[3] и кадры Ethernet.
Для решения идентичных задач ранее были разработаны такие технологии, как Frame Relay и ATM. Многие инженеры считали, что технология ATM будет заменена другими протоколами с меньшими накладными расходами на передачу данных и при этом обеспечивающими передачу пакетов данных переменной длины с установлением соединения между узлами сети. Технология MPLS разрабатывалась с учётом сильных и слабых сторон ATM. В настоящее время оборудование с поддержкой MPLS заменяет на рынке оборудование с поддержкой вышеупомянутых технологий. Вероятно, что в будущем MPLS полностью вытеснит данные технологии[4].
В частности, MPLS обходится без коммутации ячеек и набора сигнальных протоколов, характерных для ATM. При разработке MPLS пришло понимание того, что на уровне ядра современной сети нет необходимости в ячейках ATM маленького фиксированного размера, поскольку современные оптические сети обладают такой большой скоростью передачи данных[5], что даже пакет данных максимальной длины в 1500 байт испытывает незначительную задержку в очередях буферов коммутационного оборудования (необходимость сокращения таких задержек, например, для обеспечения заданного качества голосового трафика, повлияла на выбор ячеек малого размера, характерных для ATM).
В то же время в MPLS попытались сохранить механизмы оптимизации и управления трафиком (англ. traffic engineering) и управления отдельно от передаваемого потока данных, которые сделали технологии Frame relay и ATM привлекательными для внедрения в больших сетях передачи данных.
Несмотря на то, что переход на MPLS даёт преимущества управления потоками данных (улучшение надёжности и повышение производительности сети), существует проблема потери контроля потоков данных, проходящих через сеть MPLS, со стороны обычных IP-приложений[6].
|
|
|
Принцип работы[править | править вики-текст]
Технология MPLS основана на обработке заголовка MPLS, добавляемого к каждому пакету данных. Заголовок MPLS может состоять из одной или нескольких «меток». Несколько записей (меток) в заголовке MPLS называются стеком меток..
| Формат записи в стеке меток | |||
| 32 бита | |||
| 20 бит | 3 бита | 1 бит | 8 бит |
| Label | TC | S | TTL |
Каждая запись в стеке меток состоит из следующих четырёх полей:
· значение метки (англ. label); занимает 20 бит;
· поле «класс трафика» (англ. t raffic c lass); используется для реализации механизмов качества обслуживания (QoS) и явного уведомления о перегрузке (англ. e xplicit c ongestion n otification, ECN) (до RFC 5462 это поле называлось Exp (англ. exp erimental use)); занимает 3 бита;
· флаг «дно стека» (англ. bottom of stack); если флаг установлен в 1, то это означает, что текущая метка последняя в стеке; занимает 1 бит;
· поле TTL (англ. t ime t o l ive); используется для предотвращения петель MPLS коммутации; занимает 8 бит.
В MPLS-маршрутизаторе пакет с MPLS-меткой коммутируется на следующий порт после поиска метки в таблице коммутации вместо поиска по таблице маршрутизации. При разработке MPLS поиск меток и коммутация по меткам выполнялись быстрее, чем поиск по таблице маршрутизации или RIB (англ. r outing i nformation b ase — информационная база маршрутизации), так как коммутация может быть выполнена непосредственно на коммутационной фабрике вместо центрального процессора. Маршрутизаторы, расположенные на входе или выходе MPLS-сети, называются LER (англ. l abel e dge r outer — граничный маршрутизатор меток). LER на входе в MPLS-сеть добавляют метку MPLS к пакету данных, а LER на выходе из MPLS-сети удаляет метку MPLS из пакета данных. Маршрутизаторы, выполняющие маршрутизацию пакетов данных, основываясь только на значении метки, называются LSR (англ. l abel s witching r outer — коммутирующий метки маршрутизатор). В некоторых случаях пакет данных, поступивший на порт LER, уже может содержать метку, тогда новый LER добавляет вторую метку в пакет данных. Метки между LER и LSR распределяются с помощью LDP (англ. l abel d istribution p rotocol]] — протокол распределения меток)[7]. Для того, чтобы получить полную картину MPLS-сети, LSR постоянно обмениваются метками и информацией о каждом соседнем узле, используя стандартную процедуру. Виртуальные каналы (туннели), называемые LSP (англ. l abel s witch p ath — пути коммутации меток), устанавливаются провайдерами для решения различных задач, например, для организации VPN или для передачи трафика через сеть MPLS по указанному туннелю. Во многом LSP ничем не отличается от PVC в сетях ATM или Frame relay, за исключением того, что LSP не зависят от особенностей технологий канального уровня. При описании виртуальных частных сетей, основанных на технологии MPLS, LER, расположенные на входе или выходе сети, обычно называются PE-машрутизаторами (англ. p rovider e dge — маршрутизаторы на границе сети провайдера), а узлы, работающие как транзитные маршрутизаторы, называются P-маршрутизаторами (англ. p rovider — маршрутизаторы провайдера)[8].
|
|
|
Пространство значений меток [править | править вики-текст]
Поле значения метки в MPLS заголовке занимает 20 бит, таким образом максимально возможное значение метки равно 1 048 575.
Следующие номера меток зарезервированы для различных целей:
· метка с номером 0 может использоваться только как последняя метка в стеке. Наличие метки 0 означает, что заголовок MPLS должен быть удалён, и последующая маршрутизация пакета должна основываться на значении заголовка IPv4;
· метка с номером 1 имеет особое название — «router alert label» (англ. router alert label — метка оповещения маршрутизатора). Использование метки 1 аналогично использованию опции «Router alert option» при передаче в IP-пакетах. Метка 1 не может использоваться как последняя метка в стеке;
· метка с номером 2 может использоваться только как последняя метка в стеке. Наличие метки 2 означает, что заголовок MPLS должен быть удалён, и последующая маршрутизация пакета должна основываться на значении заголовка IPv6;
· метка с номером 3 имеет особое название — «implicit NULL label» (англ. implicit NULL label — неявная нулевая метка). Метку 3 может присваивать и рассылать LSR, но метка, в действительности, никогда не может использоваться в стеке меток. Если LSR встретит данную метку в стеке меток, то вместо замены одной метки на другую LSR удалит весь стек меток. Хотя в действительности метка 3 не может появиться в стеке меток, она должна быть указана в LDP;
· метки с номерами от 4 до 15 зарезервированы.
Установка и удаление туннелей [править | править вики-текст]
Для сети MPLS существует два стандартных протокола управления туннелями:
· LDP (англ. label distribution protocol — протокол распределения меток);
· RSVP-TE (англ. resource reservation protocol — протокола резервирования сетевых ресурсов) — расширение протокола RSVP для оптимизации и управления трафиком[9][10].
Также существуют расширения протокола BGP, способные управлять виртуальными каналами в сети MPLS[11][12][13].
Заголовок MPLS не указывает тип данных, передаваемых в MPLS-туннеле. Если возникла необходимость передачи двух различных типов трафика между двумя маршрутизаторами так, чтобы они по разному обрабатывались маршрутизаторами ядра сети MPLS, требуется установить два различных MPLS-туннеля для каждого типа трафика.
Сравнение MPLS и IP [править | править вики-текст]
MPLS как протокол некорректно сравнивать с протоколом IP, поскольку MPLS работает совместно с IP и протоколами маршрутизации (IGP).
Основные преимущества технологии IP/MPLS:
· более высокая скорость продвижения IP-пакетов по сети за счёт сокращения времени обработки маршрутной информации;
· возможность организации информационных потоков в каналах связи. С помощью меток каждому информационному потоку (например, несущему телефонный трафик) может назначаться требуемый класс обслуживания (CoS (англ.)). Потоки с более высоким CoS получают приоритет перед всеми другими потоками. Таким образом, с помощью MPLS обеспечивается качество обслуживания (QoS), присущее сетям SDH и ATM;
· полное обособление друг от друга виртуальных корпоративных сетей за счёт создания для каждой из них своеобразных туннелей;
· прозрачный пропуск через ядро IP/MPLS трафика протоколов Ethernet, Frame relay или ATM, что позволяет подключать пользователей, использующих все эти разнообразные протоколы.
Построение сетей[править | править вики-текст]
Технология MPLS используется для построения IP-сетей.
На практике MPLS используется для передачи трафика IP и Ethernet.
Основными областями применения MPLS являются:
· оптимизация и управление трафиком (англ. traffic engineering);
· организация виртуальных частных сетей (VPN).
Альтернативы[править | править вики-текст]
На уровне транспортной сети с MPLS конкурируют такие технологии, как PBB и MPLS-TP. С помощью этих технологий так же возможно предоставлять услуги L2 VPN и L3 VPN. Также в качестве конкурентной MPLS технологии предлагается использование протокола L2TPv3, однако он не популярен для решения задач, характерных для MPLS.
IPsec
[править | править вики-текст]
Материал из Википедии — свободной энциклопедии
(перенаправлено с «IPSec»)
Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии, проверенной 16 октября 2015; проверки требуют 19 правок.
IPsec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. Позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. В основном, применяется для организации vpn-соединений.
Содержание
[скрыть]
· 1История
· 2Стандарты
· 3Архитектура IPsec
o 3.1Туннельный и транспортный режимы
· 4Security Association
o 4.1Security Associations Database
o 4.2Security Policy Database
· 5Authentication Header
o 5.1Обработка выходных IP-пакетов
o 5.2Обработка входных IP-пакетов
· 6Encapsulating Security Payload
o 6.1Обработка выходных IPsec-пакетов
o 6.2Обработка входных IPsec-пакетов
· 7IKE
o 7.1Первая фаза
o 7.2Вторая фаза
· 8Как работает IPsec
· 9Использование
· 10См. также
· 11Ссылки
· 12Примечания
· 13Литература
История[править | править вики-текст]
Первоначально сеть Интернет была создана как безопасная среда передачи данных между военными. Так как с ней работал только определённый круг лиц, людей образованных и имеющих представления о политике безопасности, то явной нужды построения защищённых протоколов не было. Безопасность организовывалась на уровне физической изоляции объектов от посторонних лиц, и это было оправдано, когда к сети имело доступ ограниченное число машин. Однако, когда Интернет стал публичным и начал активно развиваться и разрастаться, такая потребность появилась[1].
И в 1994 году Совет по архитектуре Интернет (IAB) выпустил отчёт «Безопасность архитектуры Интернет». Он посвящался в основном способам защиты от несанкционированного мониторинга, подмены пакетов и управлению потоками данных. Требовалась разработка некоторого стандарта или концепции, способной решить эту проблему. В результате, появились стандарты защищённых протоколов, в числе которых и IPsec. Первоначально он включал в себя три базовые спецификации, описанные в документах (RFC1825, 1826 и 1827), однако впоследствии рабочая группа IP Security Protocol IETF пересмотрела их и предложила новые стандарты (RFC2401 — RFC2412), используемые и в настоящее время.
Стандарты[править | править вики-текст]
· RFC 2401 (Security Architecture for the Internet Protocol) — архитектура защиты для протокола IP.
· RFC 2402 (IP Authentication header) — аутентификационный заголовок IP.
· RFC 2403 (The Use of HMAC-MD5-96 within ESP and AH) — использование алгоритма хэширования MD-5 для создания аутентификационного заголовка.
· RFC 2404 (The Use of HMAC-SHA-1-96 within ESP and AH) — использование алгоритма хэширования SHA-1 для создания аутентификационного заголовка.
· RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) — использование алгоритма шифрования DES.
· RFC 4303 (ранее RFC 2406) (IP Encapsulating Security Payload [ESP]) — шифрование данных.
· RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) — область применения протокола управления ключами.
· RFC 2408 (Internet Security Association and Key Management Protocol [ISAKMP]) — управление ключами и аутентификаторами защищённых соединений.
· RFC 2409 (The Internet Key Exchange [IKE]) — обмен ключами.
· RFC 2410 (The NULL Encryption Algorithm and Its Use With IPsec) — нулевой алгоритм шифрования и его использование.
· RFC 2411 (IP Security Document Roadmap) — дальнейшее развитие стандарта.
· RFC 2412 (The OAKLEY Key Determination Protocol) — проверка соответствия ключа.
Архитектура IPsec[править | править вики-текст]
Построение защищённого канала связи может быть реализовано на разных уровнях модели OSI. Так, например, популярный SSL-протокол работает на уровне представления, а PPTP — на сеансовом.
| Уровни OSI | Протокол защищённого канала |
| Прикладной уровень | S/MIME |
| Уровень представления | SSL, TLS |
| Сеансовый уровень | PPTP |
| Транспортный уровень | AH, ESP |
| Сетевой уровень | IPsec |
| Канальный уровень | |
| Физический уровень |
В вопросе выбора уровня реализации защищённого канала несколько противоречивых аргументов: с одной стороны, за выбор верхних уровней говорит их независимость от вида транспортировки (выбора протокола сетевого и канального уровней), с другой стороны, для каждого приложения необходима отдельная настройка и конфигурация. Плюсом в выборе нижних уровней является их универсальность и наглядность для приложений, минусом — зависимость от выбора конкретного протокола (например, PPP или Ethernet). Компромиссом в выборе уровня является IPsec: он располагается на сетевом уровне, используя самый распространённый протокол этого уровня — IP. Это делает IPsec более гибким, так что он может использоваться для защиты любых протоколов, базирующихся на TCP и UDP. В то же время, он прозрачен для большинства приложений.[2]
IPsec является набором стандартов Интернет и своего рода «надстройкой» над IP-протоколом. Его ядро составляют три протокола [3]:
· Authentication Header (АН) обеспечивает целостность виртуального соединения (передаваемых данных), аутентификацию источника информации и функцию по предотвращению повторной передачи пакетов
· Encapsulating Security Payload (ESP) обеспечивает конфиденциальность (шифрование) передаваемой информации, ограничение потока конфиденциального трафика. Кроме этого, он может исполнять функции AH: обеспечить целостность виртуального соединения (передаваемых данных), аутентификацию источника информации и функцию по предотвращению повторной передачи пакетов. При применении ESP в обязательном порядке должен указываться набор услуг по обеспечению безопасности: каждая из его функций может включаться опционально.
· Internet Security Association and Key Management Protocol (ISAKMP) — протокол, используемый для первичной настройки соединения, взаимной аутентификации конечными узлами друг друга и обмена секретными ключами. Протокол предусматривает использование различных механизмов обмена ключами, включая задание фиксированных ключей, использование таких протоколов, как Internet Key Exchange, Kerberized Internet Negotiation of Keys (RFC 4430) или записей DNS типа IPSECKEY (RFC 4025).
Также одним из ключевых понятий является Security Association (SA). По сути, SA является набором параметров, характеризующим соединение. Например, используемые алгоритм шифрования и хэш-функция, секретные ключи, номер пакета и др.
Туннельный и транспортный режимы [править | править вики-текст]
IPsec может функционировать в двух режимах: транспортном и туннельном.
В транспортном режиме шифруются (или подписываются) только данные IP-пакета, исходный заголовок сохраняется. Транспортный режим, как правило, используется для установления соединения между хостами. Он может также использоваться между шлюзами для защиты туннелей, организованных каким-нибудь другим способом (см., например, L2TP).
В туннельном режиме шифруется весь исходный IP-пакет: данные, заголовок, маршрутная информация, а затем он вставляется в поле данных нового пакета, то есть происходит инкапсуляция[4]. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети.
Режимы IPsec не являются взаимоисключающими. На одном и том же узле некоторые SA могут использовать транспортный режим, а другие — туннельный.
Security Association[править | править вики-текст]
Для начала обмена данными между двумя сторонами необходимо установить соединение, которое носит название SA (Security Association). Концепция SA фундаментальна для IPsec, собственно, является его сутью. Она описывает, как стороны будут использовать сервисы для обеспечения защищённого общения. Соединение SA является симплексным (однонаправленным), поэтому для взаимодействия сторон необходимо установить два соединения. Стоит также отметить, что стандарты IPsec позволяют конечным точкам защищённого канала использовать как одно SA для передачи трафика всех взаимодействующих через этот канал хостов, так и создавать для этой цели произвольное число безопасных ассоциаций, например, по одной на каждое TCP-соединение. Это дает возможность выбирать нужную степень детализации защиты. [2] Установка соединения начинается со взаимной аутентификации сторон. Далее происходит выбор параметров (будет ли осуществляться аутентификация, шифрование, проверка целостности данных) и необходимого протокола (AH или ESP) передачи данных. После этого выбирается конкретные алгоритмы (например, шифрования, хэш-функция) из нескольких возможных схем, некоторые из которых определены стандартом (для шифрования — DES, для хэш-функций — MD5 либо SHA-1), другие добавляются производителями продуктов, использующих IPsec (например Triple DES, Blowfish, CAST). [5]
Security Associations Database [править | править вики-текст]
Все SA хранятся в базе данных SAD (Security Associations Database) IPsec-модуля. Каждое SA имеет уникальный маркер, состоящий из трёх элементов: [6]
· индекса параметров безопасности (Security Parameters Index, SPI)
· IP-адреса назначения
· идентификатора протокола безопасности (ESP или AH)
IPsec-модуль, имея эти три параметра, может отыскать в SAD запись о конкретном SA. В список компонентов SA входят [7]:
Последовательный номер
32-битовое значение, которое используется для формирования поля Sequence Number в заголовках АН и ESP.
|
|
|
