Защита информации виртуальных частных сетей

/p>

Неопасная передача IP-пакетов по личным и общедоступным IP-сетям в туннельном режиме IPSec получается из-за инкапсулирования и шифрования всего IP-пакета с внедрением механизма шифрования по согласованию (если он нужен). После чего зашифрованная информация инкапсулируется снова, снабжается нешифрованным заголовком и направляется через промежные сети на туннельный сервер Защита информации виртуальных частных сетей. Получив такую дейтаграмму, туннельный сервер обрабатывает ее открытый IP-заголовок, удаляет его, а потом дешифрирует содержимое и извлекает начальный IP-пакет с полезной информацией. Дальше пакет обрабатывается, как обычно, и направляется получателю.

В туннельном режиме IPSec поддерживается только IP-трафик, а все операции выполняются на нижнем уровне IP Защита информации виртуальных частных сетей-стека. Благодаря этому все выполняемые тут функции становятся доступны для приложений и протоколов высшего уровня. Управление режимом делается в согласовании с политикой безопасности - набором правил фильтрации пакетов, определяющих очередность внедрения устройств шифрования и туннелирования, также доступные способы аутентификации, распределенные по ценностям. Как возникает трафик, который необходимо передать на другой Защита информации виртуальных частных сетей конец туннеля, обе машины создают обоюдную аутентификацию, после этого согласуют способ шифрования. Когда такие операции завершены, весь трафик шифруется средством избранного механизма, а к каждому пакету прикрепляется заголовок туннелирования.

Аутентификация IPSec

Для аутентификации источника и проверки целостности нешифрованной инфы протокол IPSec употребляет заголовок аутентификации и порядковый номер пакета. В случае Защита информации виртуальных частных сетей шифрования трафика IPSec обращается к помощи протокола шифрования дейтаграмм ESP (Encapsulating Security Payload неопасное закрытие содержания). Применение IPSec подразумевает, что скрытый ключ известен только отправителю и получателю сообщения. Таким макаром, если данные аутентификации оказываются настоящими, получатель делает вывод, что они поступили от отправителя и не подверглись изменению в процессе пересылки Защита информации виртуальных частных сетей.

5.3 Пример передачи данных по протоколу IPSec

Пример иллюстрирует передачу данных от юзера хост-компьютера A к юзеру компьютера B. В обоих компьютерах реализована безопасность Windows IP Security.

Набросок 7 - передача данных по IPSec

Directory Service - Служба каталога

IP Security Policy - Политика безопасности IP

Policy Agent - Агент безопасности

ISAKMP/Oakley Service - Служба ISAKMP/Oakley

SA Negotiation Key Exchange Защита информации виртуальных частных сетей - Обмен ключами при неопасных переговорах

Application - Приложение

Transport Layer TCP/UDP - Транспортный уровень TCP/UDP

Internet Layer - Уровень Веба

Encrypted IP packets - Зашифрованные IP-пакеты

На пользовательском уровне процесс «засекречивания» IP-пакетов совсем прозрачен. Юзер 1 запускает приложение, использующее протокол TCP/IP, к примеру, FTP, и пересылает данные юзеру 2.

Политика безопасности, назначенная админом для Защита информации виртуальных частных сетей компов А и В, определяет уровень безопасности передачи инфы меж ними. Эти уровни воспринимаются агентом политики и передаются службе ISAKMP/Oakley и драйверу IPSEC. Для установления ключа и общего способа переговоров (неопасное соединение) служба ISAKMP/Oakley каждого компьютера употребляет политику переговоров, связанную с приписанной политикой безопасности. Результаты политики переговоров ISAKMP меж Защита информации виртуальных частных сетей 2-мя компьютерами передаются драйверу IPSEC, использующему ключ для шифрования данных. В конце концов, драйвер IPSEC отправляет зашифрованные данные в компьютер B. Драйвер IPSEC компьютера B расшифровывает переданные данные и направляет их принимающей программке.

5.4 Достоинства и недочеты протокола L2TP/IPSec.

Преимущество решений на базе L2TP over Защита информации виртуальных частных сетей IPSec состоит в том, что она соединяет развитые средства инкапсуляции трафика, предусмотренные в L2TP, с надежными функциями защиты данных протокола IPSec. К тому же оба протокола уже успели на практике проявить свои сильные стороны и показать способность к взаимодействию, а все трудности их реализации ложатся на плечи Защита информации виртуальных частных сетей производителей, а не заказчиков. Протокол L2TP допускает сжатие заголовков пакетов, так что это не значительно оказывает влияние на загруженность трафика, потому что суммарный размер передаваемых пакетов растет всего на один б.

К недочетам можно отнести то, что схема L2TP over IPSec делает препядствия для юзеров, потому что два протокола Защита информации виртуальных частных сетей поддерживать труднее, чем один. Не считая того, методам, заложенным в подготовительном варианте спецификаций, недостает эффективности, так как идентификация юзера на другом конце соединения делается уже после того, как соединение установлено. А если юзер не прошел авторизацию на доступ к предоставляемым услугам, соединение будет разорвано. Применение протоколов Internet Key Exchange (IKE Защита информации виртуальных частных сетей) с заблаговременно согласованными ключами просит статических Айпишников, а это не позволяет работать по коммутируемым телефонным линиям. Определенные в рамках IPSec процедуры IKE созданы для согласования характеристик защищенной передачи, включая применяемый в процессе сеанса метод шифрования данных, меж участниками сеанса связи. Разумеется, применение статических адресов и заблаговременно согласованных Защита информации виртуальных частных сетей ключей устроит далековато не всех юзеров. Тем из их, кто работает через обыденные аналоговые модемы, присваиваются динамические Айпишника, а партнеры и клиенты компании, получающие доступ в корпоративную экстрасеть, не могут заблаговременно знать, какие ключи будут применяться для обеспечения информационной безопасности.

6 Сопоставление протоколов PPTP и IPSec.

Point-to-Point Защита информации виртуальных частных сетей Tunneling Protocol (PPTP) и протокол IP Security (IPSec) допускают компанию личных сеансов связи поверх Internet и связывают удаленных юзеров и корпоративные сети защищенными каналами. Каждый протокол имеет свои плюсы и недочеты, касающиеся безопасности данных и удобства развертывания.

Безопасность PPTP против безопасности IPSec

PPTP, разработанный и популяризируемый компаниями Microsoft и U.S Защита информации виртуальных частных сетей. Robotics, сначала предназначен для виртуальных личных сетей, основанных на коммутируемых соединениях. Протокол призван активизировать внедрение удаленного доступа, давая возможность юзерам устанавливать коммутируемые соединения с Internet-провайдерами и создавать защищенный туннель к своим корпоративным сетям. В отличие от IPSec протокол PPTP вначале не предназначался для организации туннелей меж локальными Защита информации виртуальных частных сетей сетями. PPTP расширяет способности PPP -- протокола, который специфицирует соединения типа точка-точка в IP-сетях. PPP обширно употребляется для организации доступа юзеров в общедоступную сеть Internet и личные корпоративные сети по коммутируемым либо широкополосным соединениям. Так как PPP работает на уровне 2, соединение PPTP, которое инкапсулирует пакеты PPP, позволяет передавать не только лишь Защита информации виртуальных частных сетей IP-пакеты, да и IPX либо NetBEUI. Со собственной стороны, IPSec работает на уровне 3 и способен обеспечивать туннелированную транспортировку IP-пакетов.

Способ шифрования, стандартным образом используемый в PPTP, специфицируется на уровне PPP. Обычно в качестве клиента PPP выступает настольный компьютер с операционной системой Microsoft, а в качестве протокола Защита информации виртуальных частных сетей шифрования употребляется Microsoft Point-to-Point Encryption (MРPE). Данный протокол основывается на эталоне RSA RC4 и поддерживает 40- либо 128-разрядное шифрование. Для многих приложений такового уровня шифрования полностью довольно, хотя он и считается наименее надежным, ежели ряд других алгоритмов шифрования, предлагаемых IPSec, а именно, 168-разрядный Triple-Data Encryption Standard Защита информации виртуальных частных сетей (DES).

Совместно с тем, IPSec создавался в расчете на компанию неопасных туннелей через Internet меж защищенными локальными сетями. Он предназначался для связи с удаленным кабинетом, другой локальной сетью либо бизнес-партнером.

IPSec также поддерживает соединения меж удаленными юзерами и корпоративными сетями. Аналогичным образом, Microsoft добавляет поддержку туннелирования меж Защита информации виртуальных частных сетей локальными сетями для протокола PPTP в собственном Routing and Remote Access Server для операционной системы Windows NT Server 4.0.

Что касается надежности шифрования и обеспечения целостности данных, то IPSec -- вне конкуренции. Протокол соединяет внутри себя управление ключами с поддержкой сертификатов эталона X.509, целостности и защиты инфы.

Более того, 168-разрядный метод Triple-DES -- самый Защита информации виртуальных частных сетей надежный вид шифрования, предлагаемый в IPSec, -- обеспечивает более высочайший уровень защиты, ежели 128-разрядный метод RC4. Не считая того, IPSec позволяет делать шифрование и аутентификацию отдельных пакетов, также предупредить так именуемую «атаку посредника», при которой данные перехватываются третьей стороной, модифицируются и передаются получателю.

PPTP уязвим для схожих Защита информации виртуальных частных сетей вторжений, сначала поэтому, что он делает аутентификацию сеансов, а не отдельных пакетов. Но воплощение схожей «атаки посредника» при PPTP-соединении просит значимых усилий и незаурядного мастерства.

Многим компаниям доступность PPTP на платформе Windows (протокол поддерживает Windows NT, 95 и 98) помогает без особенных заморочек развертывать и поддерживать виртуальные личные сети. Другие Защита информации виртуальных частных сетей же считают, что PPTP обеспечивает наименее надежную защиту, чем IPSec.

Принципиально подразумевать, что при развертывании виртуальной личной сети для удаленных юзеров IPSec просит, чтоб в предприятие на каждую настольную систему было установлено спец клиентское программное обеспечение. Установка и поддержка этого ПО просит намного больше усилий, чем развертывание PPTP.

7 Протокол EAP

Протокол Защита информации виртуальных частных сетей EAP (Extensible Authentication Protocol - расширяемый протокол аутентификации) представляет собой расширение для протокола РРР. Он содержит стандартный механизм поддержки ряда способов аутентификации, включая жетоны, протокол Kerberos, открытые ключи и скрытые ключи S/Key. Этот механизм вполне поддерживается как серверами удаленного доступа Windows NT Dial-Up Server, так и сетевыми клиентами Защита информации виртуальных частных сетей удаленного доступа Dial-Up Networking Client. Протокол EAP является очень принципиальным компонентом неопасных ВЧС, обеспечивающим защиту от силовых атак, подбора пароля по словарю и попыток угадать его.

Применение EAP расширяет способности ВЧС на базе сервера удаленного доступа Windows NT Remote Access Service, позволяя создавать аутентификацию при помощи модулей независящих производителей. Реализация Защита информации виртуальных частных сетей этого протокола в среде Windows NT стала ответом Microsoft на бессчетные просьбы юзеров, которые не желают отрешаться от обычных аппаратных средств безопасности.

Протокол EAP был предложен Мотивированной группой технической поддержки Веба в качестве расширения для протокола РРР. Он содержит дополнительные механизмы аутентификации, нужные для проверки РРР Защита информации виртуальных частных сетей-соединений. Основная задачка EAP состоит в динамическом подключении модулей аутентификации на обеих - клиентской и серверной - сторонах такового соединения. Этот протокол отличается очень высочайшей гибкостью, обеспечивая уникальность и вариативность аутентификации. Практическая реализация EAP включена в Microsoft Windows 2000.

7.1 Обеспечение безопасности на уровне транзакций

Очень высочайший уровень безопасности ВЧС обеспечивается за счет внедрения Защита информации виртуальных частных сетей микропроцессорных карточек и жетонов аутентификации. Микропроцессорные карточки представляют собой маленькие устройства размером с кредитную карточку со встроенными в их ЦПУ и маленьким объемом оперативки. Сюда обычно заносятся данные, удостоверяющие личность юзера (к примеру, сертификаты открытого ключа), ключи шифрования и характеристики учетной записи. Некие из микропроцессорных карточек содержат также метод шифрования Защита информации виртуальных частных сетей, с помощью которого криптоключи никогда не передаются вовне. В системах обеспечения безопасности удаленного доступа микропроцессорные карточки сейчас употребляются достаточно изредка, потому что их поддерживают только немногие пакеты такового типа. Ситуация должна поменяться с возникновением Windows 2000. Эта операционная система позволит использовать такие карточки при самых разных видах аутентификации, включая Защита информации виртуальных частных сетей RAS, L2TP и PPTP.

Жетоны аутентификации выпускаются разными производителями, любой из которых закладывает в их свой метод работы. Но они все представляют собой ни что другое, как аппаратный генератор паролей. Некие жетоны оснащаются маленьким жидкокристаллическим экраном и клавиатурой, напоминая внешним обликом калькуляторы. После того, как юзер введет собственный Защита информации виртуальных частных сетей цифровой идентификационный номер, на дисплее монитора возникает скрытый цифровой код, который делает функции пароля. Обычно скрытый код носит уникальный нрав и никогда не повторяется даже на данном устройстве. Жетоны аутентификации очень комфортны для организации доступа по коммутируемым каналам (к примеру, при работе со службой удаленного доступа), также для аутентификации Защита информации виртуальных частных сетей хост-компьютеров. Сетевое применение таких жетонов, обычно, основано на клиент-серверных разработках (или выстроено по другим схемам с применением паролей), потому не исключает перехвата передаваемой скрытой инфы.

Поддержку жетонов аутентификации, как и пользовательских сертификатов с открытым ключом, обеспечит синтетический протокол EAP-TLS (Extended Authentication Protocol-Transaction Layer Security - расширяемый протокол аутентификации и Защита информации виртуальных частных сетей обеспечение безопасности на уровне транзакций). Он уже представлен на рассмотрение Мотивированной группы технической поддержки Веба в качестве проекта спецификации на способ аутентификации завышенной надежности с применением сертификатов открытого ключа. При работе по схеме EAP-TLS клиент отправляет на сервер удаленного доступа пользовательский сертификат, а в ответ Защита информации виртуальных частных сетей получает с него серверный сертификат. 1-ый из их обеспечивает надежную аутентификацию юзера на сервере, а 2-ой гарантирует, что клиент вступил в контакт конкретно с тем сервером, который ему нужен. При проверке достоверности приобретенных данных оба участника такового обмена полагаются на цепочку доверенных органов сертификации.

Сертификат юзера может храниться конкретно на клиентском ПК Защита информации виртуальных частных сетей, с которого делается удаленный доступ, или на наружной микропроцессорной карточке. В обоих случаях пользоваться сертификатом можно только после идентификации юзера, которая делается методом обмена той либо другой информацией (идентификационного номера, композиции имени юзера и пароля и т.д.) меж юзером и клиентским ПК. Таковой подход полностью Защита информации виртуальных частных сетей отвечает принципу программно-аппаратной защиты, рекомендуемому большинством профессионалов в области безопасности связи.

EAP-TLS представляет собой, на самом деле, разновидность протокола EAP, реализованную в Windows 2000. Как и MS-CHAP, он служит для получения криптоключа, который употребляется протоколом MPPE для шифрования всех следующих данных.

7.2 Аутентификация при помощи службы RADIUS

RADIUS (Remote Authentication Защита информации виртуальных частных сетей Dial-in User Service - служба дистанционной аутентификации юзеров по коммутируемым линиям) представляет собой центральный сервер с базой данных аутентификации и служит дополнением к другим протоколам аутентификации запросов. В базу этой службы положены протокол UDP, обслуживающий протоколы РРР, РАР и CHAP, также функция входа в системы Unix и ряд других устройств Защита информации виртуальных частных сетей аутентификации. Не считая собственного конкретного назначения служба RADIUS позволяет также создавать учет бюджета ВЧС.

Получив от сетевой службы аутентификации NAS запрос на подключение юзера, сервер RADIUS ассоциирует приобретенные данные с информацией из собственной базы данных. Тут же находится и центральное хранилище характеристик подключений для всех зарегистрированных юзеров. По Защита информации виртуальных частных сетей мере надобности сервер не ограничивается обычным ответом на запрос (ДА/НЕТ), а докладывает в NAS ряд сведений относительно определенного юзера. А именно, он может указать наибольшее время сеанса, выделенный статический Айпишник и информацию, позволяющую произвести оборотный вызов юзера.

Служба RADIUS может не только лишь сама обращаться в свою Защита информации виртуальных частных сетей базу данных для самостоятельной обработки запросов аутентификации, да и предоставлять ее другим серверам баз данных. А именно, ею может пользоваться общий открытый сервер подключений сети либо главный контроллер домена. Последний нередко располагается на том же компьютере, что и сервер RADIUS, хотя это и не непременно. Не считая всего остального, сервер RADIUS Защита информации виртуальных частных сетей может делать функции клиента-представителя удаленного сервера RADIUS.

7.3 Учет бюджета ВЧС при помощи службы RADIUS

Служба RADIUS позволяет производить централизованное администрирование и учет бюджета нескольких туннельных серверов. Большая часть серверов RADIUS можно настроить таким макаром, чтоб они регистрировали запросы на аутентификацию в особом учетном файле. Спецификациями предусмотрен набор стандартных Защита информации виртуальных частных сетей сообщений, которыми служба NAS уведомляет сервер RADIUS о необходимости передавать учетную запись юзера сначала каждого вызова, в его конце, или повторять ее в процессе сеанса связи через данные промежутки времени. А независящие разработчики предлагают ряд пакетов биллинга и аудита, которые на базе учетных записей RADIUS генерируют разные аналитические документы Защита информации виртуальных частных сетей.

7.4 Протокол EAP и RADIUS

Чтоб вместе использовать протокол EAP с сервером RADIUS, нужно внести коррективы как в службу NAS, так и в службу RADIUS. При классической схеме аутентификации эти службы создают одну-единственную транзакцию, состоящую из запроса и ответа на него. Но при аутентификации по протоколу EAP служба NAS не может Защита информации виртуальных частных сетей без помощи других собрать информацию о клиенте, нужную для аутентификации на сервере RADIUS. Для решения этой трудности сисадмин может настроить службу NAS таким макаром, что она будет направлять клиенту идентификатор, включив его в сообщение EAP. Тот в ответ скажет службе сетевой аутентификации данные об имени юзера и домене. Служба NAS Защита информации виртуальных частных сетей включает их в запрос EAP-start и в таком виде направляет на сервер RADIUS. Предстоящий процесс аутентификации делается, как обычно: служба RADIUS передает клиенту через службу NAS сообщения EAP и отвечает на их до того времени, пока аутентификация не даст положительного (либо отрицательного) результата.

8 Шифрование

Безопасность ВЧС существенно увеличивается, когда Защита информации виртуальных частных сетей шифруются не только лишь пакеты данных, да и пароли. Криптоключи данных, как ранее говорилось, генерируются на базе регистрационных данных юзера и по каналам связи не передаются. Когда аутентификация завершена и личность юзера удостоверена, шифрование делается при помощи ключа аутентификации.

Протоколы PPTP и L2TP, как и лежащий Защита информации виртуальных частных сетей в их базе РРР, допускают применение дополнительных протоколов шифрования и сжатия. А именно, для увеличения защищенности данных тут может употребляться протокол IPSec, который поддерживается в реализации L2TP, выполненной Microsoft. По мере надобности безопасность инфы в ВЧС можно обеспечить и при помощи других криптотехнологий.

8.1 Симметричное шифрование (с личным ключом)

В Защита информации виртуальных частных сетей базу симметричного шифрования (его также именуют шифрованием с личным ключом либо обыденным шифрованием) положен скрытый ключ, узнаваемый только участникам сеанса связи. Отправитель обрабатывает свое сообщение по специальному математическому методу с внедрением секретного ключа, преобразуя тем его открытый текст в шифрованный. Получатель сообщения при помощи такого же самого Защита информации виртуальных частных сетей секретного ключа проводит оборотную операцию, после этого получает начальный открытый текст. Примером схемы симметричного шифрования могут служить методы RSA RC4 (используемый в протоколе MPPE), DES (Data Encryption Standard - эталон шифрования данных), IDEA (International Data Encryption Algorithm - интернациональный метод шифрования данных), также разработка шифрования Skipjack, предложенная правительством США для микросхемы Защита информации виртуальных частных сетей Clipper.

8.2 Асимметричное шифрование (с открытым ключом)

Для асимметричного шифрования (либо шифрования с открытым ключом) каждый юзер обязан иметь два разных ключа. Какой-то из них - скрытый (личный) и известен только обладателю, а 2-ой - открытый, который доступен всем. Скрытый и открытый ключи составляют пару, связь меж ними определяется особым математическим методом шифрования Защита информации виртуальных частных сетей. При таковой схеме один ключ употребляется для шифрования сообщения, а другой - для его дешифровки. Применение ключей определяется особенностями службы связи. Технологии шифрования с открытым ключом позволяют включать в сообщения цифровые подписи - блоки инфы, закрытые при помощи секретного ключа создателя сообщения.

При симметричном шифровании отправитель и получатель должны знать Защита информации виртуальных частных сетей общий скрытый ключ, потому приходится находить пути его подготовительной доставки (с соблюдением мер предосторожности) обоим корреспондентам. Избежать таковой трудности помогает асимметричное шифрование. Тут отправитель шифрует свое сообщение либо снабжает его цифровой подписью средством собственного секретного ключа, а дешифровка делается при помощи открытого ключа, который отправитель может свободно переслать хоть Защита информации виртуальных частных сетей какому собственному корреспонденту. Таким макаром, при асимметричном шифрование приходится кропотливо беречь только один ключ - скрытый.

8.3 Структурное и бесструктурное шифрование

Для правильного выбора схемы шифрования очень принципиально осознать различия меж структурным (stateful) и бесструктурным (stateless) шифрованием.

При бесструктурном шифровании каждый одиночный пакет является самодостаточным и содержит всю информацию, нужную для его дешифрования. Структурное Защита информации виртуальных частных сетей шифрование, напротив, основано на том, что каждый следующий пакет связан с предшествующим (либо прошлыми), и успешное дешифрование сообщения может быть только в этом случае, если у получателя имеется вся последовательность пакетов.

Чтоб верно избрать тип шифрования, нужно отыскать компромиссное решение, сбалансировав стойкость шифрования и производительности криптосистемы в средах Защита информации виртуальных частных сетей с высочайшим уровнем утрат (либо в сетях, где нарушается последовательность доставки пакетов). Бесструктурное шифрование позволяет дешифрировать каждый пакет автономно, без какой-нибудь связи с прошлыми. По стойкости таковой подход уступает структурному шифрованию, где не получив предшествующего пакета, нереально расшифровать следующий. Но в последнем случае довольно одному-единственному Защита информации виртуальных частных сетей пакету затеряться в сети - и дешифрование всех пакетов, последующих за ним, станет неосуществимым. Это может привести к суровому понижению производительности в сетях, где велика возможность утраты пакетов либо нарушения порядка их доставки.

Механизмы шифрования IPSec обычно опираются на способы бесструктурного шифрования, и тому есть весомая причина: в IP-сетях Защита информации виртуальных частных сетей просто нереально гарантировать надежную пересылку всех пакетов. Их доставку без утрат, и к тому же без нарушения последовательности, обеспечивает только прямое подключение меж узлами сети. Вот поэтому в базу протокола РРР, разработанного специально для таких сред, положен способ структурного шифрования.

8.4 IPSec и бесструктурное шифрование

В протоколе IPSec предвидено шифрование каждого пакета персонально Защита информации виртуальных частных сетей и независимо от его предшественников. Благодаря таковой схеме утрата отдельного пакета приведет к утрате только той части инфы, которая была заключена в нем, но нисколечко не скажется на способности дешифрования других пакетов. В тех случаях, когда протоколы туннелирования канального уровня (такие, как PPTP и L2TP) передаются поверх Защита информации виртуальных частных сетей IPSec, возникает возможность заместо устройств структурного шифрования РРР использовать механизмы бесструктурного шифрования IPSec.

Протокол IPSec сотворен на базе модели Мотивированной группы технической поддержки Веба, предусматривающей смешение криптографии открытых и скрытых ключей. Автоматизирован тут и процесс управления ключами, за счет чего удается достигнуть очень вероятного уровня безопасности при очень высочайшей производительности криптосистемы Защита информации виртуальных частных сетей. Такая схема позволяет создавать аутентификацию, инспектировать целостность инфы, предотвращать повторное внедрение паролей, также - при применении дополнительных средств - сохранять конфиденциальность данных, обеспечивая тем очень высшую защищенность канала связи. К тому же, протокол IPSec, реализованный компанией Microsoft, работает ниже сетевого уровня и потому прозрачен для юзеров и приложений. Принимая его Защита информации виртуальных частных сетей на вооружение, организации автоматом выходят на отменно новый уровень сетевой безопасности.

Практические реализации IPSec обычно поддерживают более широкий диапазон алгоритмов шифрования, чем протоколы туннелирования канального уровня, где употребляется шифрование РРР. Но такие протоколы можно передавать поверх IPSec, что позволяет шифровать туннельный трафик канального уровня средством всех алгоритмов протокола Защита информации виртуальных частных сетей IPSec.

9 Фильтрация

Фильтрация служит еще одним массивным средством обеспечения сетевой безопасности. Делая упор на нее, админ может разрешить доступ к корпоративной сети из Веба только тем юзерам, которые прошли аутентификацию в ВЧС. К тому же, отсеивание пакетов, не относящихся к протоколам PPTP и L2TP, понижает риск атаки на корпоративную Защита информации виртуальных частных сетей сеть через сервер шлюза ВЧС. Пропуская поступающий трафик через фильтр, можно удалить из него все пакеты, не отвечающие данным аспектам (протоколам). В композиции с шифрованием по протоколу РРР эта функция гарантирует, что поступить в личную ЛВС и покинуть ее сумеют только санкционированные шифрованные данные.

9.1 Фильтрация на сервере маршрутизации и удаленного Защита информации виртуальных частных сетей доступа ВЧС

Сервер R/RAS (Routing and Remote Access Server - сервер маршрутизации и удаленного доступа) не только лишь производит маршрутизацию сообщений, да и делает целый ряд других функций. Так, он способен обслуживать удаленный доступ по коммутируемым каналам, поддерживает ВЧС, обеспечивает фильтрацию пакетов на отдельных портах. А в среде Защита информации виртуальных частных сетей Windows 2000 этот сервер сумеет работать с протоколом L2TP.

Разработчики сервера ВЧС R/RAS предусмотрели возможность установки фильтров PPTP и L2TP на входных портах туннельного сервера. Такая схема позволяет перекрыть все пакеты, не надлежащие аспектам протоколов, которые установлены на сервере. А именно, в сеть могут пропускаться только пакеты, адресованные определенному серверу Защита информации виртуальных частных сетей, либо те, начальные адреса которых указаны в перечень разрешенных Айпишников отправителей. Может также проводиться проверка подлинности адресов в личной сети отправителя и получателя, назначаемых туннельным сервером.

Допускается и фильтрация трафика на выходных портах туннельного сервера, которая отсеивает данные, исходящие из личной сети. Тут, к примеру, можно Защита информации виртуальных частных сетей сделать проверку адресов получателей и их сравнение со перечнем разрешенных, который ведется на сервере R/RAS. Точно так же можно создавать проверку адресов отправителей пакетов.

9.2 Фильтрация IPSec

Протокол IPSec можно представить как очередной уровень, лежащий ниже стека TCP/IP. Управление этим уровнем делается в согласовании с политикой безопасности на каждом компьютере, учитываются и Защита информации виртуальных частных сетей правила обеспечения безопасности, согласованные отправителем и получателем сообщения. Политика безопасности определяет как применяемый набор фильтров, так и ассоциированные функции безопасности (associated security behaviors). Если Айпишник, протокол и номер порта, обозначенные в пакете, соответствуют аспектам фильтрации, последующим шагом становится проверка ассоциированных функций безопасности.

9.3 ВЧС и брандмауэры

Брандмауэр представляет собой очередное средство Защита информации виртуальных частных сетей защиты корпоративной сети. Этот компонент общей системы безопасности строго смотрит за тем, какие данные могут быть пропущены из Веба в личную сеть. Известны три метода размещения брандмауэров в виртуальных личных сетях.

Туннельный сервер ВЧС может быть установлен перед брандмауэром, сзади него либо на одном компьютере с Защита информации виртуальных частных сетей ним. Более высочайший уровень защиты достигается при установке сервера перед брандмауэром. В среде Windows NT туннель ВЧС настраивается таким макаром, что в сеть проходят только пакеты PPTP. Пройдя фильтрацию, они разуплотняются, дешифруются и в таком виде поступают на брандмауэр, где их содержимое вновь подвергается фильтрации и анализу. Конкретно такая схема Защита информации виртуальных частных сетей - установка сервера ВЧС перед брандмауэром - рекомендуется для внедрения в расширенных интрасетях, применяемых бессчетными доверенными партнерами, и для защиты денежных ресурсов. Вобщем, таковой совет не универсален, окончательное решение следует принимать в каждом определенном случае раздельно.

Как ранее говорилось, брандмауэр может устанавливаться и перед сервером ВЧС. При таковой схеме серверу приходится рассматривать еще Защита информации виртуальных частных сетей больше пакетов, чем в описанной чуть повыше схеме. Не считая того, появляется опасность прохождения через брандмауэр несанкционированных пакетов PPTP: информация в их зашифрована и сжата, потому провести ее фильтрацию брандмауэр не в состоянии. В данном случае появляется угроза неправомерного использования сети служащими, которым предоставляется право доступа в нее Защита информации виртуальных частных сетей. При этом такая внутренняя угроза преобразуется в ежедневную, если служащий получает возможность заходить в ЛВС повсевременно. Вобщем, схожую конфигурацию, как и связанный с ней риск, можно признать допустимыми для приложений, работающих в интрасетях и схожих им сетевых структурах.

И, в конце концов, 3-я схема, к которой могут прибегнуть организации с Защита информации виртуальных частных сетей ограниченными ресурсами, - брандмауэр устанавливается на одном компьютере с сервером ВЧС. При таковой конфигурации машина направляет исходящий трафик ВЧС подходящим получателям, а входящий - на расположенный здесь же брандмауэр для анализа. Таковой метод является более экономным, и его полностью можно советовать для внедрения в интрасетях и для связи в границах одной Защита информации виртуальных частных сетей компании.

10 Выбор средств ВЧС

Абсолютная безопасность недостижима. Но точно так же нельзя считать, как будто существует абсолютная угроза безопасности. Виртуальные личные сети Microsoft на базе протокола PPTP с применением MPPE-шифрования обеспечивают очень надежную защиту.

Заложенная в Windows 2000 поддержка протокола L2TP, полная защита канала связи по Защита информации виртуальных частных сетей протоколу IPSec, применение протокола EAP в микропроцессорных карточках, сертификаты Kerberos - все это предоставляет сетевым админам богатейший выбор средств обеспечения безопасности, разработанных компанией Microsoft и рекомендуемых ею для развертывания виртуальных личных сетей.

10.1 Анализ угроз сетевой безопасности

Приступая к планированию виртуальной личной сети, сетевой админ сперва должен провести анализ угроз ее безопасности Защита информации виртуальных частных сетей. Ему нужно выявить более уязвимые места сети, оценить возможность разных видов атак на нее и вероятные последствия взлома системы защиты.

В процессе анализа следует также учитывать, что может пригодиться для внедрения той либо другой системы. Скажем, развертывание полномасштабной инфраструктуры шифрования IP Security может востребовать подмены всех компов с микропроцессорами Защита информации виртуальных частных сетей 486 и ранешних Pentium, которые не способны удовлетворить требования к производительности ЦПУ. А ведь применение IPSec может стать насущной необходимостью, если на серверах сети располагается секретная информация и высока возможность попыток их взлома. В таких критериях финансовложения в развертывание новейшей инфраструктуры будут полностью оправданными. Те же организации, которые особенного энтузиазма для Защита информации виртуальных частных сетей взломщиков и соперников не представляют, могут полностью ограничиться ВЧС на базе PPTP, не тратясь на модернизацию оборудования.

Благодаря поддержке протокола EAP, заложенной в Windows 2000, компании могут взять на вооружение системы безопасности с микропроцессорными карточками и жетонами аутентификации. Каждый юзер таковой сети получает маленькое устройство размером с кредитную карточку, которое открывает Защита информации виртуальных частных сетей ему доступ в сеть с хоть какого компьютера. Правда, и тут дополнительный уровень защиты приходится рассматривать через призму ежедневных заморочек реального мира. Скажем, следует учесть, что служащим характерно забывать свои микропроцессорные карточки дома, а то и вообщем терять их.

Разнопланова и практическая оценка сертификатов Kerberos. Они делают дополнительную Защита информации виртуальных частных сетей защиту сети и в ряде всевозможных случаев без их просто не обойтись. Но безизбежно найдутся сетевые админы, которые не отважутся взгромоздить на свои плечи такую сложнейшую задачку, как интеграция сети с инфраструктурой открытых ключей.

10.2 Безопасность и требования к паролю

Простота развертывания и управления, дополненная высоким уровнем безопасности и шифрованием Защита информации виртуальных частных сетей данных по протоколу MPPE, - вот что делает виртуальные личные сети Microsoft на базе протокола PPTP одной из самых фаворитных сетевых сред. Естественно, каждому админу приходится без помощи других находить и отыскивать конкретно ту систему, которая в большей степени отвечает требованиям, выработанным в процессе анализа угроз сетевой безопасности. Но большая часть организаций, включая Защита информации виртуальных частных сетей саму Microsoft, уже удостоверились в том, что ВЧС на базе PPTP обеспечивают высокий уровень защиты инфы и полностью подходят большинству компаний.

Аутентификацией по паролю, предусмотренной протоколом PPTP, управлять намного легче, чем системами на базе микропроцессорных карточек и сертификатов, но тут есть свои подводные камешки. Чтоб достигнуть безопасности собственной ВЧС Защита информации виртуальных частных сетей на базе PPTP (в дополнение к сетевым ресурсам), админу необходимо создать правила использования паролей, предусматривающие:

применение только паролей Windows NT;

внедрение сложных символьных последовательностей (перемежающихся в случайном порядке строчных и строчных букв, цифр, символов препинания) и определение мало допустимой длины пароля;

регулярную смену пароля.

Отлично обмысленная политика в Защита информации виртуальных частных сетей области безопасности должна также предугадывать и практические меры, содействующие ее выполнению. К огорчению, приходится временами припоминать юзерам даже о том, чтоб они не показывали собственный пароль окружающим, оставляя его на дисплее монитора.

10.3 Способности реализаций VPN на разных версиях Windows.

Windows 9x

Windows NT

Windows 2000

Работа в качестве клиента ВЧС

+

+

+

Работа Защита информации виртуальных частных сетей в качестве сервера ВЧС

-

+

+

Поддержка протокола PPTP

+

+

+

Поддержка протокола L2TP

-

-

+

Необходимость дополнительной установки протоколов для работы с ВЧС

+

+

-

10.4 Нередко задаваемые вопросы при выборе средств VPN

Есть ли различия в обеспечении безопасности удаленного доступа и доступа в ВЧС?

Естественно. Так, в виртуальных личных сетях чувствуется еще большая потребность в шифровании. Тут трафик проходит через Защита информации виртуальных частных сетей Веб, где возможность его перехвата еще выше, чем в телефонных каналах. Чтоб подслушать телефонный разговор, довольно получить физический доступ к кабелю либо коммутатору телефонной компании. Естественно, бывает и так, хотя злодею приходится преодолевать значимые трудности. В Вебе же путь от PPTP-клиента к PPTP-серверу пролегает через огромное количество промежных устройств (коммутаторов Защита информации виртуальных частных сетей, серверов имен и т.д.). А чем больше промежных звеньев, тем легче злодею просочиться в одно из их, чтоб перехватить трафик данных либо перенаправить его.

Много найдется и таких взломщиков, которые попробуют взломать сам сервер ВЧС, более уязвимый, чем сервер удаленного доступа по коммутируемым каналам. Это еще раз подчеркивает Защита информации виртуальных частных сетей значимость аутентификации юзеров, подключающихся к серверу ВЧС, и необходимость внедрения надежных паролей.

Можно ли сказать, что ВЧС на базе IPSec безопаснее виртуальных сетей на базе PPTP?

Не непременно. Какой бы протокол ни применялся, безопасность ВЧС на его базе находится в зависимости от многих качеств практической реализации сетевых компонент Защита информации виртуальных частных сетей. Большая часть современных реализаций IPSec поддерживают сертификаты открытого ключа и, на теоретическом уровне, способны генерировать более стойкие ключи, чем механизмы на базе общих паролей. Но практически они все полагаются только на машинные сертификаты и, как следует, не создают аутентификацию юзера. Другими словами, доступ тут предоставляется не юзеру, а машине, - кто Защита информации виртуальных частных сетей же работает за ней на этот момент, никому не понятно. Стандартное требование для доступа в ВЧС - неотклонимая проверка возможностей. Если сравнить все эти положения, то становится понятно: в тех случаях, когда клиентский компьютер доступен более, чем одному юзеру, одних машинных сертификатов для управления доступом недостаточно - это делает брешь в Защита информации виртуальных частных сетей системе обеспечения безопасности.

Можно ли сказать, что ВЧС на базе L2TP безопаснее виртуальных сетей на базе PPTP?

Тоже не непременно. Как и в случае с другими средствами сотворения ВЧС, безопасность сетей на базе L2TP почти во всем определяется особенностями их практической реализации. Безопасность стандартных ВЧС Защита информации виртуальных частных сетей такового типа получается из-за внедрения протокола IPSec, который обеспечивает конфиденциальность и сразу держит под контролем целостность сообщений. При всем этом, обычно, сразу употребляется и аутентификация по протоколу РРР, которая позволяет проверить, кто конкретно подключается к сети. Как следует ВЧС на базе L2TP с применением IPSec способны обеспечить надежную защиту Защита информации виртуальных частных сетей инфы в самых различных критериях.

Можно ли сказать, что межсерверные ВЧС безопаснее клиент-серверных виртуальных сетей?

В пользу межсерверных ВЧС гласит целый ряд причин. Так, тут могут употребляться более длинноватые, и к тому же кажущиеся глупыми, пароли - ведь они хранятся, обычно, на жестком диске, и их Защита информации виртуальных частных сетей не надо вводить вручную. Но такие потенциальные достоинства полностью сказываются только в тех случаях, когда через серверы проходит весь трафик ВЧС. К тому же межсерверные системы предъявляют особо жесткие требования к физической защите серверов.

11 Создание виртуального личного подключения в Windows 2000

11.1 Создание подключения к удаленному серверу

1. В «Панели управления» открываем папку «Сеть и Защита информации виртуальных частных сетей удаленный доступ к сети».

2. Жмем на «Создание нового подключения». Возникает последующее окошко:

Набросок 8

Жмем кнопку «Далее».

3. Лицезреем:

Набросок 9

Избираем «Подключение к виртуальной личной сети через Интернет» и жмем «Далее».

4. Снова вылезает окно последующего содержания:

Набросок 10

Тут мы вводим Айпишник сервера, с которым мы желаем установить VPN-соединение, «Далее Защита информации виртуальных частных сетей».

5. Последующее окно:

Набросок 11

Тут я избрал «только для меня» (так захотелось), «Далее».

6. Последующее окно:

Набросок 12

Тут мы вводим заглавие подключения, «Готово».

7. Итак, в окне «Сеть и удалённый доступ к сети» появился значок с заглавием подключения, давайте поглядим:

Набросок 13

8. Что все-таки сейчас? А сейчас мы просто устанавливаем VPN Защита информации виртуальных частных сетей-соединение, нажав на вышеперечисленный значок:

Набросок 14

Тут мы вводим имя и пароль. Поглядим, что произойдёт далее!

9. А далее происходит последующее:

Набросок 15

Набросок 16

Набросок 17

Ну, естественно, случаются некие проблемы:

Набросок 18

Примем это как есть. И вот заслуга за настолько трудоёмкие энергозатраты:

Набросок 19

10. После чего на панели задач справа возникает значок «Состояние подключения». Любопытно Защита информации виртуальных частных сетей, а что все-таки там? А там вот что:

Набросок 20

11. Поглядим закладку «Сведения»:

Набросок 21

11.2 Создание входящего подключения

Сейчас нам нужно настроить Windows2000 на приём VPN-подключений.

1. Снова жмем «Создание нового подключения», «Далее» и избираем «Принимать входящие подключения»:

Набросок 22

Естественно, жмем «Далее».

2. Вот что возникает далее:

Набросок 23

Тут всё понятно Защита информации виртуальных частных сетей, «Далее».

3. На данном шаге и определяется возможность VPN-подключения к вашему компу:

Набросок 24

4. Тут мы избираем юзеров, которые сумеют подключаться к компу:

Набросок 25

5. Сейчас избираем применяемые сетевые составляющие для подключения:

Набросок 26

6. Дальше мастер сетевого подключения предложит заглавие соединения. Оставим его: «Входящие подключения».

7. Сейчас поглядим на характеристики VPN-подключения. Для Защита информации виртуальных частных сетей этого в окне «Сеть и удалённый доступ к сети» наведём на значок нашего соединения «В этом и заключается моя курсовая работа», нажмём правую кнопку мыши и выберем «Свойства».

8. Закладка «Общие». Тут можно указать Айпишник компьютера, с которым мы будем устанавливать VPN-соединение, а так же указать номер телефона Защита информации виртуальных частных сетей:

Набросок 27

9. Закладка «Параметры». Тут указываются Характеристики набора номера и Характеристики повторного звонка:

Набросок 28

10. Закладка «Безопасность». Тут у нас имеется два пт «Параметров безопасности»: «Обычные» и Дополнительные».

Набросок 29

В меню «При проверке употребляется:» можно избрать или «Безопасный пароль», или «Смарт-карта».

Если избрать пункт «Дополнительные» и надавить «Настройка», то вылезет последующее окно Защита информации виртуальных частных сетей:

Набросок 30

В меню «Шифрование данных» можно избрать три пт:

- непременное (отключиться если нет шифрования)

- необязательное (подключиться даже без шифрования)

- неразрешено (отключиться если требуется шифрование)

В меню «Безопасный вход» имеется два пт:

1) Протокол расширенной проверки подлинности. Тут имеется перечень способов проверки подлинности, доступных на компьютере.

2) Разрешить последующие протоколы. Тут Защита информации виртуальных частных сетей указывается, какие протоколы разрешить/не разрешить.

11. Закладка «Сеть». Тут можно избрать тип вызываемого сервера VPN: Автоматом, Туннельный протокол точка-точка (PPTP) и туннельный протокол второго уровня (L2TP). Так же имеется перечень доступных для использования сетевых компонент.

Набросок 31

12. Закладка «Общий доступ».

Набросок 32

Если навести на «Общий доступ» и надавить правую Защита информации виртуальных частных сетей кнопку мыши, то появится последующая подсказка:

Набросок 33

12 Создание виртуального личного подключения в Windows NT

12.1 Установка протокола PPTP

Установка протокола PPTP (в нашем случае он уже установлен). В «Панели управления» два раза щелкаем на папку «Сеть». Потом смотрим закладку «Протоколы»:

Набросок 34

Жмем на кнопку “Add” (Добавить), избираем Point to Point Защита информации виртуальных частных сетей Tunneling Protocol, жмем ОК:

Набросок 35

Чтоб поглядеть конфигурацию PPTP, необходимо надавить правой кнопкой на Point to Point Tunneling Protocol:

Набросок 36

Тут можно избрать количество одновременных подключений к серверу.

12.2 Добавление VPN устройств на PPTP сервер

Наводим курсор на Remote Access Service и жмем Properties.

Набросок 37

Потом для прибавления VPN-устройства необходимо Защита информации виртуальных частных сетей надавить Add и избрать VPN-устройство:

Набросок 38

Устройство добавлено:

Набросок 39

Для конфигурирования VPN-устройства жмем Configure:

Набросок 40

Тут имеются последующие способности:

· Только исходящие звонки

· Только входящие звонки

· Исходящие и входящие звонки

Избираем «исходящие и входящие звонки». Сейчас сервер может принимать и создавать VPN-соединения.

PPTP почти всегда употребляется для сотворения неопасных соединений Защита информации виртуальных частных сетей через Веб. Таким макаром, PPTP клиент обязан иметь две записи в собственной телефонной книжке:

1) для соединения с Интернет-провайдером

2) для соединения с PPTP сервером

Но если использовать PPTP для соединения с другим компом по локальной сети, нужно иметь только одну запись в телефонной книжке.

12.3 Создание записи в телефонной книжке для подключения к провайдеру Защита информации виртуальных частных сетей Веба

Запускаем программку Dial-Up Networking (Start, Accessories). В показавшемся окне вводим имя новейшей записи и жмем «Next». Во вновь показавшемся окне избираем I am calling the Internet и жмем «Next»:

Набросок 41

В последующем окне избираем модем, жмем «Next». Дальше возникает окно, в каком мы вводим телефонный номер провайдера Защита информации виртуальных частных сетей, жмем «Next». Новенькая запись изготовлена. Можно редактировать запись нажав «More», «Edit entry and modem properties». Показаться окно с открытой закладкой «Basic»:

Набросок 42

Тут можно ввести имя записи, другой номер телефона и т.д.

Закладка «Server». Тут можно избрать тип сервера, применяемые протоколы, установить сжатие данных:

Набросок 43

Закладка «Security Защита информации виртуальных частных сетей». Тут выбирается политика шифрования и аутентификации:

Набросок 44

12.4 Создание записи в телефонной книжке для подключения к PPTP серверу

Тут нужно произвести операции, описанные выше, кроме последующих:

- в окне выбора модема необходимо избрать устройство RASPPTPM(VPN1), надавить «Next»

- в показавшемся окне заместо телефонного номера ввести Айпишник сервера

Появилась новенькая запись:

Набросок 45

Для редактирования записи необходимо Защита информации виртуальных частных сетей надавить «More», «Edit entry and modem properties»:

Набросок 46

Сейчас можно подключиться к PPTP серверу. В окне Dial-Up Networking избираем запись для подключения к PPTP серверу и жмем «Dial». После проверки имени и пароля возникает окно:

Набросок 47

Соединение произведено удачно.

В правом углу «Панели задач» возникает Защита информации виртуальных частных сетей значок Dial-Up Networking Monitor. Если щёлкнуть на него, показаться окно:

Набросок 48

13 Создание виртуального личного подключения в Windows 9х

Microsoft Windows 9x имеет очень умеренные способности для сотворения VPN-соединений по сопоставлению c Windows NT и тем паче с Windows 2000. Тут можно работать исключительно в качестве PPTP клиента.

13.1 Установка Адаптера виртуальной личной сети Защита информации виртуальных частных сетей Microsoft

Поначалу нужно установить адаптер виртуальной личной сети Microsoft. В «Панели управления» два раза щелкаем на папку «Сеть». Потом жмем кнопку «Добавить», избираем тип устанавливаемого устройства - Сетевая плата и опять жмем «Добавить». В показавшемся окне избираем Изготовитель: Microsoft, Сетевая плата: Адаптер виртуальной личной сети Microsoft. Так же нужно Защита информации виртуальных частных сетей установить «Контроллер удалённого доступа»:

Набросок 49

После проделанных операций закладка «Конфигурация» папки «Сеть» будет иметь последующий вид:

Набросок 50

13.2 Создание VPN-соединения

1. Сейчас можно приступить к созданию VPN-соединения. Для этого в папке «Удаленный доступ к сети» два раза щелкаем на значок «Новое соединение». Возникает последующее окно:

Набросок 51

Тут вводим заглавие Защита информации виртуальных частных сетей соединения, избираем Microsoft VPN Adapter и жмем «Далее».

2. Во вновь показавшемся окне вводим Айпишник VPN-сервера:

Набросок 52

3. В папке «Удаленный доступ к сети» возникает значок с заглавием соединения:

Набросок 53

4. Два раза щёлкаем на значок с нашим VPN-соединением. В показавшемся окне вводим имя и пароль и жмем «Подключиться»:

Набросок 54

5. Дальше происходит Защита информации виртуальных частных сетей последующее:

Набросок 55

7. Соединение произведено удачно:

Набросок 56

14 Внедрение программки Sniffer Pro для просмотра содержимого пакетов

Для того чтоб просмотреть в каком виде передаются данные по протоколу PPTP употреблялся анализатор сети Sniffer Pro 2.5 (набросок 57).

При VPN соединении клиента Windows 98 с сервером Windows2000 было перехвачено 100 пакетов.

Набросок 57 - перехваченные пакеты

Окно разбито на три части: основная Защита информации виртуальных частных сетей информация, детальная информация и содержимое пакета в шестнадцатеричном виде.

Основная информация содержит записи о перехваченных пакетах. Любая запись содержит адресок отправителя, адресок получателя, протокол, длину пакета, время с начала перехвата, временную разницу меж первым перехваченным пакетом и следующим и дату перехвата.

PPTP отправляет управляющую информацию через протокол TCP, а Защита информации виртуальных частных сетей данные - через протокол Generic Routing Encapsulation (GRE).

На рисунке 57 видно, что в главном идёт обмен пакетами по протоколу GRE.

Поглядим содержимое пакетов переданных при помощи протокола GRE.

Набросок 58 - перехваченные пакеты

На рисунке 58 видна детальная информация о пакете, также содержимое пакета. До места отмеченного сероватым цветом идет служебная информация о пакете Защита информации виртуальных частных сетей, а дальше сами данные в зашифрованном виде.

Поглядим еще пакет:

Набросок 59 - перехваченные пакеты

Для сопоставления поглядим пакет переданный по протоколу TCP:

Набросок 60 - перехваченные пакеты

На рисунке 60 видно, что пакет не содержит зашифрованных данных. До места отмеченного сероватым цветом идёт информация об IP, а потом о TCP.

Заключение

Защита сети - процесс оживленный. Тут Защита информации виртуальных частных сетей приходится повсевременно находить компромисс, который бы позволил накрепко защитить информацию, не тормозя работу самой сети и не снижая производительность всей организации.

Средства ВЧС, разработанные Microsoft, обеспечивают высокий уровень безопасности. Они открывают перед организациями все плюсы таковой комфортной и экономной технологии, как туннелирование трафика в общедоступных сетях Защита информации виртуальных частных сетей, и при всем этом накрепко заблокируют несанкционированный доступ к инфы через темный ход.

Microsoft продолжает развивать свои технологии виртуальных личных сетей, чтоб предложить юзерам отлично встроенные и неопасные средства организации ВЧС. Применение протокола PPTP дает организациям возможность просто и с наименьшими затратами прокладывать туннели через общедоступные сети, предупреждая при всем этом Защита информации виртуальных частных сетей несанкционированное их внедрение. Способности PPTP отлично дополняет протокол MPPE, обеспечивающий дополнительное шифрование данных, передаваемых по туннелю. А протоколы L2TP, IPSec и EAP, поддержка которых предусмотрена в Windows 2000, сделают доступными и другие способы аутентификации, включая применение микропроцессорных карточек.

Отлично осознавая динамический нрав сетевых угроз, Microsoft пробует предвосхитить будущие Защита информации виртуальных частных сетей требования к безопасности сетей, зачем направляет особенное внимание на развитие средств защиты сетевых операций. Ее усилия в этой области привели к предстоящему увеличению безопасности ВЧС на базе PPTP за счет:

расширенной аутентификации по протоколу MS-CHAP;

внедрения для аутентификации более стойких паролей;

внедрения дополнительных средств шифрования на базе Защита информации виртуальных частных сетей протокола MPPE;

защиты канала управления.

Организациям приходится иметь дело с самыми разными опасностями безопасности. Некие сети, в особенности те, где циркулирует строго секретная информация и существует высочайшая возможность попыток взлома, требуют внедрения самых надежных систем защиты. Для других же полностью довольно развертывания базисной ВЧС, дополненной, может быть, шифрованием данных.

1, 2, 3


zasedanie-zal-bolshoj.html
zasedaniya-antiterroristicheskoj-komissii-v-yamalo-neneckom-avtonomnom-okruge.html
zasedaniya-ekspertnoj-rabochej-gruppi-po-razrabotke-pfz-o-peredache-tehnologij-komiteta-gosudarstvennoj-dumi-stranica-2.html