Защита сетевого траффика

Сервисы защиты информации позволяют через публичную сеть (например интернет) безопасно передавать данные, обеспечивая их аутентичность, целостность и конфиденциальность. Наиболее простым средством для предоставления такого сервиса является технология защищенного канала, которая обеспечивает защиту траффика между двумя пользователями публичной сети. В IP-сетях широко применяются две технологии защищенного канала:

· SSL (Secure Socket Layer)

· IPsec (Internet Protocol Security)

Протокол SSL работает на уровне представления модели OSI, что делает его непрозрачным для приложений. Протокол IPsec является более универсальным средством, поскольку относится к сетевому уровню модели OSI и полностью прозрачен для приложений, которые в случае использования IPsec не требуют модификации. Более масштабным средством защиты траффика являются VPN. Подобная сеть является своего рода «сетью в сети», т.е. сервисом, создающем у пользователей иллюзию существования их частной сети в публичной сети. Одним из важнейших свойств такой частной сети является защищенность траффика от атак пользователей публичной сети.

Технологии, обеспечивающие безопасность данных и лежащие в основе VPN делятся на два класса:

· Технологии шифрования данных

· Технологии разделения траффика

Первый класс технологий опирается на технику защищенных каналов, применяя ее в других масштабах, т.е. объединяя не двух пользователей, а произвольное количество клиентских сетей. Типичным представителем этого класса VPN является технология IPsec VPN.

Второй класс технологии VPN опирается на технику постоянных виртуальных каналов PVC (PVC – Permanent Virtual Channel, постоянный виртуальный канал), позволяющий отличать защищенную часть траффика от остальной. В сетях VPN, работающих на основе разграничения траффика, шифрование не требуется, поскольку принцип функционирования PVC исключает возможность атаки на него клиентом, подключенного к другому PVC. Новым типом виртуальных частных сетей этого класса являются сети, основанные на технологии многопротокольной коммутации с помощью меток MPLS VPN(MPLS –Multiprotocol Label Switching VPN). Эти сети позволяют поставщику предоставлять услуги VPN без обязательного шифрования информации. Технология MPLS на сегодняшний день считается многими специалистами одной из самых эффективных транспортных технологий. Эта технология объединяет технику виртуальных каналов с функциональностью стека TCP/IP. Указанное объединение происходит за счет того, что одно и то же сетевое устройство, называемое коммутирующим по меткам маршрутизатором (Label Switch Router, LSR), выполняет функции как IP-маршрутизатора, так и коммутатора виртуальных каналов. Причем это не механическое объединение, а тесная интеграция, когда отдельные устройства дополняют друг друга и используются совместно. Многопротокольность в технологии MPLS состоит в том, что она может использовать протоколы маршрутизации не только стека TCP/IP, но и любого другого, например, IPX/SPX стека Novell. В этом случае вместо протоколов маршрутизации RIP IP и OSPF IP будут применяться протоколы RIP IPX, или NLSP, а общая архитектура NLSP остается такой же.