Протоколы аутентификации, шифрования и контроля целостности.
Если протоколы VPN обеспечивают универсальность и прозрачность для сетевых пользователей, то протоколы шифрования и контроля целостности реализуют защиту самих соединений от возможного просмотра и модификации. Основными показателями протоколов шифрования является открытость и криптостойкость. Контроль целостности осуществляется путем выполнения односторонней функции, в качестве которой выступают либо контролируемые данные или ключ.
Используемые алгоритмы шифрования:
¾ Des
¾ Triple Des
¾ CAST
¾ RC-4
¾ RSA
В качестве хеш-функции:
¾ MD5
¾ SHA.
Протоколы управления ключами
IKE и SKIP
Протокол IKE - разработан на основании трех протоколов и предоставляет два способа аутентификации сторон:
1. Использование предварительно разделенного секретного ключа.
2. Использование цифровых сертификатов X509.
Разделенный секрет используют для получения цифровой подписи, на основе которой доказывается аутентичность противоположной стороны. Протокол IKE использует 500 транспортный порт UDP протокола.
В протоколе SKIP заложена поддержка конфигураций в которых используются механизмы повышенной надежности, балансировки нагрузки, а также предусмотрена защита от атак типа "отказ в обслуживании". Ключи - по схеме DX.
Протокол предусматривает взаимодействие с протоколами АН и DSP.
Инфраструктура открытых ключей
Преимущества технологий открытых ключей:
1. Обеспечение целостности данных (хэш-функция)
2. Гарантия невозможности подмены отправителя сообщения
3. Универсальность применения
Основными компонентами PKI является:
1. Доверенные центры
2.Архив сертификатов
3.Система аннулирования сертификатов.
4.Система создания резервных копий и восстановления ключей.
5.Система автоматической корректировки пар ключей и сертификатов.
Использование технологии PKI при организации VPN-соединения дает следующие преимущества:
1. Используются надежные механизмы взаимной аутентификации сторон.
2. Повышается скорость и безопасность подключения новых пользователей и узлов, поскольку достаточно указать уникальный идентификатор пользователя.
3. VPN легко интегрируется в существующую инфраструктуру PKI.
Прохождение VPN трафика через межсетевой экран
В случае размещения VPN-шлюза за межсетевым экраном необходимо обеспечить прохождение VNP трафика через межсетевой экран. Для решения этой задачи межсетевой экран должен:
1. Поддерживать работу с транспортными протоколами отличными от TCP и UDP
2. Знать соответствующие номера протоколов инкапсулируемых в IP:
Протокол | Инкапсулирован в протокол | Номер протокола |
AH | IP | |
ESP | IP | |
IKE | UDP | |
SKIP | IP | |
L2F, L2TP | UDP | |
GRE | IP | |
PPTP(TCP) | TCP |
SPLIT DNS
Технология SPLIT DNS предназначена для разделения системы DNS на внешнюю и внутреннюю. Разделение выполняется так, что клиенты внутренней сети могут обращаться как к внутренним так и ко внешним объектам DNS. При этом внешние запросы на разрешение имен и IP-адресов будут обрабатываться на основании установленных правил. Некоторые реализации SPLIT DNS предоставляют возможность автоматической замены локальных доменных имен в SPLIT DNS IP-адресов в заголовках прикладных протоколов.
Балансировка нагрузки и управление полосой пропускания.
Одним из недостатков стэка протоколов TCP/IP заключается в отсутствии предусмотренных механизмов управления полосой пропускания сетевых соединений. Кроме этого протокол TCP во время соединения пытается максимально увеличить скорость передачи. Возникает такие проблемы:
1. Пользователи сети находятся в неравном положении.
2. Скорость доступа к критическим сетевым приложениям не может быть гарантирована.
3. Осложняется работа сетевым приложений чувствительным к задержкам.
В большинстве межсетевых экранов для решения оптимизации нагрузки на прикладные серверы используется механизм "карусель для преодоления нагрузки". С помощью данного механизма можно оптимизировать нагрузку за счет циклического перенаправления соединений на очередной сервер из пула зеркальных.
Управление сетями
Управление межсетевыми экранами через платформу управления сетями.
Выделяется два направления решения проблемы управления сетями:
1. Предоставление производителями устройств доступных интерфейсов управления.
2. Использование протоколов управления SNMP.
Дата добавления: 2017-11-04; просмотров: 469;