ВУЗ:
Составители:
18
шифрования между этими точками. Из недостатков этого протокола можно отметить то,
что он ориентирован на IP.
Другими протоколами построения VPN являются протоколы PPTP (Point-to-Point
Tunneling Protocol), разработанный компаниями Ascend Communications и 3Com, L2F
(Layer-2 Forwarding) - компании Cisco Systems и L2TP (Layer-2 Tunneling Protocol),
объединивший оба вышеназванных протокола. Однако эти протоколы, в отличие от IPSec,
не являются полнофункциональными (например, PPTP не определяет метод шифрования),
поэтому, в основном, будем ориентироваться на IPSec.
Говоря об IPSec, нельзя забывать о протоколе IKE (Internet Key Exchange),
позволяющем обеспечить передачу информации по туннелю, исключая вмешательство
извне. Этот протокол решает задачи безопасного управления и обмена
криптографическими ключами между удаленными устройствами, в то время, как IPSec
кодирует и подписывает пакеты. IKE автоматизирует процесс передачи ключей, используя
механизм шифрования открытым ключом, для установления безопасного соединения.
Помимо этого, IKE позволяет производить изменение ключа для уже установленного
соединения, что значительно повышает конфиденциальность передаваемой информации.
Существуют различные варианты построения VPN. При выборе решения требуется
учитывать факторы производительности средств построения VPN. Например, если
маршрутизатор и так работает на пределе мощности своего процессора, то добавление
туннелей VPN и применение шифрования/дешифрования информации могут остановить
работу всей сети из-за того, что этот маршрутизатор не будет справляться с простым
трафиком, не говоря уже о VPN.
Опыт показывает, что для построения VPN лучше всего использовать
специализированное оборудование, однако если имеется ограничение в средствах, то
можно обратить внимание на чисто программное решение.
Рассмотрим некоторые варианты построения VPN.
VPN на базе брандмауэров
Брандмауэры большинства производителей поддерживают туннелирование и
шифрование данных. Все подобные продукты основаны на том, что если уж трафик
проходит через брандмауэр, то почему бы его заодно не зашифровать. К программному
обеспечению собственно брандмауэра добавляется модуль шифрования. Недостатком
данного метода можно назвать зависимость производительности от аппаратного
обеспечения, на котором работает брандмауэр. При использовании брандмауэров на базе
ПК надо помнить, что подобное решение можно применять только для небольших сетей с
небольшим объемом передаваемой информации.
Рис. 8. VPN на базе брандмауэра
В качестве примера решения на базе брандмауэров можно назвать FireWall-1
компании Check Point Software Technologies. FairWall-1 использует для построения VPN
стандартный подход на базе IPSec. Трафик, приходящий в брандмауэр, дешифруется,
после чего к нему применяются стандартные правила управления доступом. FireWall-1
работает под управлением операционных систем Solaris и Windows NT 4.0.
VPN на базе маршрутизаторов
шифрования между этими точками. Из недостатков этого протокола можно отметить то,
что он ориентирован на IP.
Другими протоколами построения VPN являются протоколы PPTP (Point-to-Point
Tunneling Protocol), разработанный компаниями Ascend Communications и 3Com, L2F
(Layer-2 Forwarding) - компании Cisco Systems и L2TP (Layer-2 Tunneling Protocol),
объединивший оба вышеназванных протокола. Однако эти протоколы, в отличие от IPSec,
не являются полнофункциональными (например, PPTP не определяет метод шифрования),
поэтому, в основном, будем ориентироваться на IPSec.
Говоря об IPSec, нельзя забывать о протоколе IKE (Internet Key Exchange),
позволяющем обеспечить передачу информации по туннелю, исключая вмешательство
извне. Этот протокол решает задачи безопасного управления и обмена
криптографическими ключами между удаленными устройствами, в то время, как IPSec
кодирует и подписывает пакеты. IKE автоматизирует процесс передачи ключей, используя
механизм шифрования открытым ключом, для установления безопасного соединения.
Помимо этого, IKE позволяет производить изменение ключа для уже установленного
соединения, что значительно повышает конфиденциальность передаваемой информации.
Существуют различные варианты построения VPN. При выборе решения требуется
учитывать факторы производительности средств построения VPN. Например, если
маршрутизатор и так работает на пределе мощности своего процессора, то добавление
туннелей VPN и применение шифрования/дешифрования информации могут остановить
работу всей сети из-за того, что этот маршрутизатор не будет справляться с простым
трафиком, не говоря уже о VPN.
Опыт показывает, что для построения VPN лучше всего использовать
специализированное оборудование, однако если имеется ограничение в средствах, то
можно обратить внимание на чисто программное решение.
Рассмотрим некоторые варианты построения VPN.
VPN на базе брандмауэров
Брандмауэры большинства производителей поддерживают туннелирование и
шифрование данных. Все подобные продукты основаны на том, что если уж трафик
проходит через брандмауэр, то почему бы его заодно не зашифровать. К программному
обеспечению собственно брандмауэра добавляется модуль шифрования. Недостатком
данного метода можно назвать зависимость производительности от аппаратного
обеспечения, на котором работает брандмауэр. При использовании брандмауэров на базе
ПК надо помнить, что подобное решение можно применять только для небольших сетей с
небольшим объемом передаваемой информации.
Рис. 8. VPN на базе брандмауэра
В качестве примера решения на базе брандмауэров можно назвать FireWall-1
компании Check Point Software Technologies. FairWall-1 использует для построения VPN
стандартный подход на базе IPSec. Трафик, приходящий в брандмауэр, дешифруется,
после чего к нему применяются стандартные правила управления доступом. FireWall-1
работает под управлением операционных систем Solaris и Windows NT 4.0.
VPN на базе маршрутизаторов
18
Страницы
- « первая
- ‹ предыдущая
- …
- 16
- 17
- 18
- 19
- 20
- …
- следующая ›
- последняя »
