Удалённый доступ к частной сети через Интернет с помощь технологии VPN
Категория реферата: Рефераты по информатике, программированию
Теги реферата: налоги в россии, отчет по практике
Добавил(а) на сайт: Chupalov.
Предыдущая страница реферата | 1 2 3 4 5 | Следующая страница реферата
- один или несколько туннельных терминаторов.
Инициировать и разрывать туннель могут самые различные сетевые устройства и
программное обеспечение. Например, туннель может быть инициирован ноутбуком
мобильного пользователя, оборудованным модемом и соответствующим
программным обеспечением для установления соединений удаленного доступа. В
качестве инициатора может выступить также маршрутизатор экстрасети
(локальной сети), наделенный соответствующими функциональными
возможностями. Туннель обычно завершается коммутатором экстрасети или
шлюзом провайдера услуг.
Сам по себе принцип работы VPN не противоречит основным сетевым технологиям и протоколам. Например, при установлении соединения удаленного доступа клиент посылает серверу поток пакетов стандартного протокола PPP. В случае организации виртуальных выделенных линий между локальными сетями их маршрутизаторы также обмениваются пакетами PPP. Тем не менее, принципиально новым моментом является пересылка пакетов через безопасный туннель, организованный в пределах общедоступной сети.
Туннелирование позволяет организовать передачу пакетов одного протокола в логической среде, использующей другой протокол. В результате появляется возможность решить проблемы взаимодействия нескольких разнотипных сетей, начиная с необходимости обеспечения целостности и конфиденциальности передаваемых данных и заканчивая преодолением несоответствий внешних протоколов или схем адресации.
Существующая сетевая инфраструктура корпорации может быть подготовлена к использованию VPN как с помощью программного, так и с помощью аппаратного обеспечения. Организацию виртуальной частной сети можно сравнить с прокладкой кабеля через глобальную сеть. Как правило, непосредственное соединение между удаленным пользователем и оконечным устройством туннеля устанавливается по протоколу PPP.
Наиболее распространенный метод создания туннелей VPN – инкапсуляция
сетевых протоколов (IP, IPX, AppleTalk и т. д.) в PPP и последующая
инкапсуляция образованных пакетов в протокол туннелирования. Обычно в
качестве последнего выступает IP или (гораздо реже) ATM и Frame Relay.
Такой подход называется туннелированием второго уровня, поскольку
«пассажиром» здесь является протокол именно второго уровня.
Альтернативный подход – инкапсуляция пакетов сетевого протокола непосредственно в протокол туннелирования (например, VTP) называется туннелированием третьего уровня.
Независимо от того, какие протоколы используются или какие цели преследуются при организации туннеля, основная методика остается практически неизменной. Обычно один протокол используется для установления соединения с удаленным узлом, а другой – для инкапсуляции данных и служебной информации с целью передачи через туннель.
В качестве примера использования туннеля для устранения несоответствий
между протоколами и схемами адресации можно привести технологию Simple
Internet Transition (SIT), которая должна появиться вместе с протоколом
IPv6. Это тщательно разработанная группой инженеров (IETF) методология
туннелирования, призванная облегчить переход от четвертой версии
межсетевого протокола (IPv4) к шестой (IPv6). Эти версии достаточно
отличаются, чтобы говорить о непосредственной совместимости сетей.
Инкапсуляция же пакетов протокола IPv6 в пакеты IPv4 позволяет достичь
необходимого уровня функциональной совместимости.
1.4 История появления VPN
История появления VPN тесно связана с услугой CENTREX в телефонных
сетях. Понятие Centrex появилось на рубеже 60-х годов в США как общее
название способа предоставления услуг деловой связи абонентам нескольких
компаний на основе совместно используемого оборудования одной
учрежденческой станции PBX (Private Branch Exchange). С началом внедрения в
США и Канаде станций с программным управлением термин приобрел иной смысл и
стал означать способ предоставления деловым абонентам дополнительных услуг
телефонной связи, эквивалентных услугам PBX, на базе модифицированных
станций сети общего пользования. Основное преимущество Centrex заключалось
в том, что фирмы и компании при создании выделенных корпоративных сетей
экономили значительные средства, необходимые на покупку, монтаж и
эксплуатацию собственных станций. Хотя для связи между собой абоненты
Centrex используют ресурсы и оборудование сети общего пользования, сами они
образуют так называемые замкнутые группы пользователей CUG (Closed Users
Group) с ограниченным доступом извне, для которых в станциях сети
реализуются виртуальные PBX.
В стремлении преодолеть свойственные Centrex ограничения была выдвинута
идея виртуальной частной сети VPN - как объединение CUG, составляющих одну
корпоративную сеть и находящихся на удалении друг от друга. Ресурсы VPN
(каждая со своим планом нумерации) могут быть распределены по нескольким
станциям местной сети, оснащенным функциями Centrex и имеющим в зоне своего
обслуживания одну или несколько CUG. При этом в станцию могут быть включены
как PBX, непосредственно принадлежащие владельцу VPN, так и линии обычных
индивидуальных абонентов.
1.5 Технология VPN
Технология VPN (Virtual Private Network – виртуальная частная сеть) –
не единственный способ защиты сетей и передаваемых по ним данных. Но я
считаю, что она достаточно эффективна, и ее повсеместное внедрение – это не
только дань моде, весьма благосклонной к VPN в последние пару лет.
[pic]
Рис.2 Схема VPN
Суть VPN состоит в следующем:
. На все компьютеры, имеющие выход в Интернет, устанавливается средство, реализующее VPN (VPN-агент). Не должно остаться ни одного незащищенного!
. VPN-агенты автоматически шифруют всю исходящую информацию (и соответственно расшифровывают всю входящую). Они также следят за ее целостностью с помощью ЭЦП или имитоприставок (криптографическая контрольная сумма, рассчитанная с использованием ключа шифрования).
Поскольку информация, циркулирующая в Интернете, представляет собой
множество пакетов протокола IP, VPN-агенты работают именно с ними.
Перед отправкой IP-пакета VPN-агент действует следующим образом:
. Из нескольких поддерживаемых им алгоритмов шифрования и ЭЦП по IP- адресу получателя выбирает нужный для защиты данного пакета, а также ключи. Если же в его настройках такого получателя нет, то информация не отправляется.
. Определяет и добавляет в пакет ЭЦП отправителя или имитоприставку.
. Шифрует пакет (целиком, включая заголовок).
. Проводит инкапсуляцию, т. е. формирует новый заголовок, где указывается адрес вовсе не получателя, а его VPN-агента. Эта полезная дополнительная функция позволяет представить обмен между двумя сетями как обмен всего-навсего между двумя компьютерами, на которых установлены VPN-агенты. Всякая полезная для темных целей злоумышленника информация, например внутренние IP-адреса, ему уже недоступна.
При получении IP-пакета выполняются обратные действия:
1. Заголовок содержит сведения о VPN-агенте отправителя. Если таковой не входит в список разрешенных в настройках, то информация просто отбрасывается. То же самое происходит при приеме пакета с намеренно или случайно поврежденным заголовком.
2. Согласно настройкам выбираются алгоритмы шифрования и ЭЦП, а также необходимые криптографические ключи.
3. Пакет расшифровывается, затем проверяется его целостность. Если ЭЦП неверна, то он выбрасывается.
4. И, наконец, пакет в его исходном виде отправляется настоящему адресату по внутренней сети.
Все операции выполняются автоматически. Сложной в технологии VPN является только настройка VPN-агентов, которая, впрочем, вполне по силам опытному пользователю.
VPN-агент может находиться непосредственно на защищаемом ПК, что полезно для мобильных пользователей, подключающихся к Интернет. В этом случае он обезопасит обмен данными только того компьютера, на котором установлен.
Возможно совмещение VPN-агента с маршрутизатором (в этом случае его называют криптографическим) IP-пакетов. Кстати, ведущие мировые производители в последнее время выпускают маршрутизаторы со встроенной поддержкой VPN, например Express VPN от Intel, который шифрует все проходящие пакеты по алгоритму Triple DES.
Рекомендуем скачать другие рефераты по теме: рефераты бесплатно скачать, реферат значение.
Предыдущая страница реферата | 1 2 3 4 5 | Следующая страница реферата