Теоретические сведения. Виртуальная частная сеть VPN (Virtual private network) на сегодняшний день является набирающим популярность методом построения распределенной сети

Виртуальная частная сеть VPN (Virtual private network) на сегодняшний день является набирающим популярность методом построения распределенной сети. В сравнении с технологией Frame Relay виртуальные частные сети не менее надежны в плане защиты информации, однако в несколько раз дешевле. Основной идеей этого метода является построение одного или нескольких сетевых соединений (логическую сеть) поверх другой сети (например, Интернет). Физически данные передаются через недостоверные каналы связи, поэтому потенциальный злоумышленник имеет возможность перехватить и использовать передающуюся информацию. Для обеспечения надежности при передаче трафика через VPN-сети должны быть решены следующие задачи:

- конфиденциальность (Privacy) – третье лицо не должно иметь возможности скопировать данные или ознакомиться с информацией, которая передается по сети Интернет;

- аутентификация (Authentication) – проверка того, действительно ли отправитель пакетов VPN — истинное устройство, а не такое, которое используется злоумышленником;

- целостность данных (Data integrity) – проверка, при которой выясняется, не подвергался ли изменениям пакет при передаче через Интернет;

- пересылка недостоверной информации (Antireplay) – третье лицо не должно иметь возможности копировать пакеты данных, отосланные истинным отправителем, а затем пересылать эти пакеты, выдавая себя за истинного отправителя.

Для решения перечисленных выше задач двумя устройствами создается виртуальная частная сеть, которую иногда называют VPN-туннелем (VPN tunnel). Такие устройства добавляют еще один заголовок к оригинальному пакету. В этот заголовок включаются поля, наличие которых позволяет VPN-устройствам выполнять перечисленные выше функции. Устройства также отвечают за шифрование оригинальных пакетов. Таким образом, подразумевается, что никто не дешифровал содержимое пакетов, даже если удалось скопировать пакеты при передаче через сеть Интернет.

В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть. Также можно выделить три типа VPN-сетей:

- внутрикорпоративные сети VPN (intranet VPN) – соединяют все компьютеры двух узлов сети одной организации;

- межкорпоративные сети VPN (extranet VPN) – соединяют все компьютеры двух узлов сетей разных организаций, поддерживающих партнерские отношения;

- VPN-сети удаленного доступа (remote access VPN) – соединяют отдельных пользователей с корпоративной сетью.

VPN-сеть может быть построена с помощью различных устройств, среди них маршрутизаторы, адаптивные устройства безопасности (Cisco ASA), VPN-концентраторы (устаревший продукт Cisco), а также обычные ПК с установленным VPN-клиентом.

Лидером в области защиты IP-сетей является стандарт IPSec. Это название — не аббревиатура, а сокращенная версия наименования в серии документов RFC (RFC 4301; архитектура безопасности Интернет-протокола — Security Architecture for the Internet Protocol), для которой употребляется название «IPSecurity» или сокращенная версия — «IPSec». Технология IPSec определяет набор функций, таких как аутентификация и шифрование, а также соответствующие правила для каждой из них.

Стандарт IPSec включает в себя целых три протокола, каждый со своими функциями:

1. ESP (Encapsulating Security Payload – безопасная инкапсуляция полезной нагрузки) занимается непосредственно шифрованием данных, а также может обеспечивать аутентификацию источника и проверку целостности данных.

2. AH (Authentication Header – заголовок аутентификации) отвечает за аутентификацию источника и проверку целостности данных.

3. IKE (Internet Key Exchange protocol – протокол обмена ключами) используется для формирования IPSec SA (Security Association), согласования работы участников защищенного соединения. Используя этот протокол, участники договариваются, какой алгоритм шифрования будет использоваться, по какому алгоритму будет производиться проверка целостности, а также как аутентифицировать друг друга. Под термином SA понимается набор параметров защищенного соединения, который может использоваться обеими сторонами соединения. У каждого соединения есть ассоциированный с ним SA.

Процесс шифрования в технологии IPSec не сложно понять. При шифровании в этом протоколе используется несколько алгоритмов, фактически — математические формулы, которые должны соответствовать определенным требованиям. Прежде всего, формулы нужно выбирать так, чтобы одна использовалась для шифрования данных, а другая — для расшифровывания. Шифрование данных в VPN-сетях на базе технологии IPSec происходит следующим образом (рис. 10.1):

Рис. 10.1. Шифрование данных в технологии IPSec

1. Устройство-отправитель в сети VPN подставляет исходные данные и ключ шифрования в формулу, по которой производится шифрование.

2. Устройство-отправитель инкапсулирует зашифрованные данные в пакет с новым IP-заголовоком и VPN-заголовок.

3. Устройство-отправитель пересылает этот пакет устройству-получателю сети VPN.

4. Устройство-получатель в сети VPN выполняет расшифровывание с использованием соответствующей формулы. В нее подставляются зашифрованные данные и ключ шифрования, значение которого совпадает с тем, которое использовалось в устройстве-отправителе сети VPN.

Технология IPSec поддерживает несколько алгоритмов шифрования. Одни из них разработаны совсем недавно и более эффективны, а другие имеют какие-то свои преимущества. В частности, длина ключа существенно влияет на стойкость алго­ритма. Например, алгоритмы на многоразрядных ключах гораздо сложнее взломать, но их скорость обработки устройствами ниже. Основные алгоритмы шифрования, используемые на оборудовании Cisco, перечислены ниже:

Таблица 10.1. Алгоритмы шифрования в VPN-сетях

Технология IPSec предоставляет несколько вариантов аутентификации и проверки целостности данных. Аутентификацией называют процесс или последовательность действий, выполнив которые, VPN-устройство может подтвердить, что полученный пакет данных отправлен действительно доверенным участником информационного обмена. Проверка целостности данных, иногда называемая аутентификацией сообщений, позволяет получателю удостовериться в том, что данные не были изменены при передаче.

За проверку целостности данных в VPN-сетях отвечает заголовок аутентификации (Authentication Header — АН), в котором используются общие (симметричные) ключи, как и в процессе шифрования, но для так называемых хеш-функций (hash function), а не формул шифрования. Хеш-функция работает по принципу контрольной последовательности кадра (Frame Check Sequence — FCS), но обеспечивает более высокий уровень безопасности. Хеш-алгоритм — это разновидность математической функции, называемой хеш-кодом идентификации сообщений (Hashed-based Message Authentication Code — HMAC). При использовании хеш-функции на выходе алгоритма получается небольшое число, которое сохраняется в одном из VPN- заголовков. Отправитель рассчитывает значение хеш-функции и помещает значение в заголовок. Получатель повторно рассчитывает значение хеш-функции с использованием ключа (который одинаков для обеих сторон) и сравнивает с тем, которое записано в заголовке. Если значения совпадают, значит, и отправитель, и получатель в формулу подставляли одинаковые данные. Таким образом, получатель удостоверяется, что сообщение не изменилось при передаче через сеть. При проверке целостности данных на основе хеш-функций используется секретный ключ. Его длина должна быть как минимум в два раза больше длины ключа для шифрования данных, поэтому на сегодняшний день уже разработано несколько разновидностей технологии НМАС. Например, в соответствии с алгоритмом MD5 используются ключи длиной 128 бит, поэтому он может быть использован для сетей VPN с ключами шифрования DES длиной 56 бит.

Примечание. Описание процессов моделирования для этой лабораторной работы можно найти в справке Packet Tracer: Справка Þ Содержимое Þ раздел «Моделирование» Þ Лаб. работа №10.