ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 28.07.2021

Просмотров: 433

Скачиваний: 1

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Интранет–сетей и использовать для этого дешевые Интернет–каналы, надежность и скорость передачи которых в большинстве своем сегодня уже не уступает выделенным линиям.

Туннель VPN представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографически защищенные пакеты сообщений виртуальной сети. Защита информации в процессе ее передачи по туннелю VPN основана на выполнении следующих функций:

аутентификации взаимодействующих сторон;

криптографического закрытия (шифрования) передаваемых данных;

проверки подлинности и целостности доставляемой информации.

Для этих функций характерна взаимосвязь. При их реализации используются криптографические методы защиты информации. Эффективность такой защиты обеспечивается за счет совместного использования симметричных и асимметричных криптографических систем. Туннель VPN, формируемый устройствами VPN, обладает свойствами защищенной выделенной линии, причем эта защищенная выделенная линия развертывается в рамках общедоступной сети, например Интернет. Устройства VPN могут играть в виртуальных частных сетях роль VPN–клиента, VPN–сервера или шлюза безопасности VPN.

VРN–клиент представляет собой программный или программно–аппаратный комплекс, выполняемый обычно на базе персонального компьютера. Его сетевое программное обеспечение модифицируется для выполнения шифрования и аутентификации трафика, которым это устройство обменивается с другими VPN–клиентами, VPN–серверами или шлюзами безопасности VPN.

VРN–сервер представляет собой программный или программно–аппаратный комплекс, устанавливаемый на компьютере, выполняющем функции сервера. VPN–сервер обеспечивает защиту серверов от несанкционированного доступа из внешних сетей, а также организацию защищенных соединений (ассоциаций) с отдельными компьютерами и с компьютерами из сегментов локальных сетей, защищенных соответствующими VPN–продуктами. VPN–сервер является функциональным аналогом VPN–клиента для серверных платформ.

Шлюз безопасности VPN – это сетевое устройство, подключаемое к двум сетям, которое выполняет функции шифрования и аутентификации для многочисленных хостов, расположенных за ним. Размещение шлюза безопасности VPN выполняется таким образом, чтобы через него проходил весь трафик, предназначенный для внутренней корпоративной сети.


10. Классификация сетей VPN. Основные варианты архитектуры сетей VPN

Классификация сетей VPN

Существуют разные варианты классификации VPN. Наиболее часто используются следующие три признака классификации:

рабочий уровень модели OSI;

архитектура технического решения VPN;

способ технической реализации VPN.


Классификация VPN по рабочему уровню модели OSI. Для технологий безопасной передачи данных по общедоступной (незащищенной) сети применяют обобщенное название – защищенный канал. Термин «канал» подчеркивает тот факт, что защита данных обеспечивается между двумя узлами сети (хостами или шлюзами) вдоль некоторого виртуального пути, проложенного в сети с коммутацией пакетов.


Защищенный канал можно построить с помощью системных средств, реализованных на разных уровнях модели взаимодействия открытых систем OSI.

Классификация VPN по рабочему уровню модели OSI представляет значительный интерес, поскольку от выбранного уровня OSI во многом зависит функциональность реализуемой VPN и ее совместимость с приложениями корпоративной информационной системы, а также с другими средствами защиты.

По признаку «рабочий уровень модели OSI» различают следующие группы:

VPN канального уровня;

VPN сетевого уровня;

VPN сеансового уровня.


Важно отметить, что VPN строятся на достаточно низких уровнях модели OSI. Причина этого достаточно проста: чем ниже в стеке реализованы средства защищенного канала, тем проще их сделать прозрачными для приложений и прикладных протоколов. На сетевом и канальном уровнях зависимость приложений от протоколов защиты исчезает совсем. Поэтому построить универсальную и прозрачную защиту для пользователя возможно только на нижних уровнях модели.

Классификация VPN по архитектуре технического решения. По архитектуре технического решения принято выделять три основных вида виртуальных частных сетей:

внутрикорпоративные VPN;

VPN с удаленным доступом;

межкорпоративные VPN.

Классификация VPN по способу технической реализации. Конфигурация и характеристики виртуальной частной сети во многом определяются типом применяемых VPN–устройств.

По способу технической реализации различают следующие группы VPN:

VPN на основе маршрутизаторов;

VPN на основе межсетевых экранов;

VPN на основе программных решений;

VPN на основе специализированных аппаратных средств со встроенными шифропроцессорами.

VPN на основе маршрутизаторов. Данный способ построения УРМ предполагает применение маршрутизаторов для создания защищенных каналов. Поскольку вся информация, исходящая из локальной сети, проходит через маршрутизатор, то вполне естественно возложить на него и задачи шифрования.

VPN на основе межсетевых экранов. Межсетевые экраны большинства производителей поддерживают функции туннелирования и шифрования данных. При использовании межсетевых экранов на базе персональных компьютеров надо помнить, что подобное решение подходит только для небольших сетей с относительно малым объемом передаваемой информации. Недостатками этого метода являются высокая стоимость решения в пересчете на одно рабочее место и зависимость производительности от аппаратного обеспечения, на котором работает межсетевой экран.

VPN на основе программного обеспечения. VPN–продукты, реализованные программным способом, с точки зрения производительности уступают специализированным устройствам, однако обладают достаточной мощностью для реализации VPN–сетей. Следует отметить, что в случае удаленного доступа требования к необходимой полосе пропускания невелики. Поэтому чисто программные продукты легко обеспечивают производительность, достаточную для удаленного доступа. Несомненным достоинством программных продуктов является гибкость и удобство в применении, а также относительно невысокая стоимость.


VPN на основе специализированных аппаратных средств. Главным преимуществом VPN на основе специализированных аппаратных средств является их высокая производительность.

Основные варианты архитектуры VPN

  • VPN с удаленным доступом. Виртуальные частные сети VPN с удаленным доступом обеспечивают защищенный удаленный доступ к информационным ресурсам предприятия для мобильных или удаленных сотрудников корпорации (руководство компанией, сотрудники, находящиеся в командировках, сотрудники–надомники и т.д.).

  • Внутрикорпоративная сеть VPN. Внутрикорпоративные сети VPN используются для организации защищенного взаимодействия между подразделениями внутри предприятия или между группой предприятий, объединенных корпоративными сетями связи, включая выделенные линии.

  • Межкорпоративная сеть VPN. Межкорпоративные сети VPN используются для организации эффективного взаимодействия и защищенного обмена информацией со стратегическими партнерами по бизнесу, в том числе зарубежными, основными поставщиками, крупными заказчиками, клиентами и т.д. Это сетевая технология, которая обеспечивает прямой доступ из сети одной компании к сети другой компании и таким образом способствует повышению надежности связи, поддерживаемой в ходе делового сотрудничества.


ПРАКТИКА!

  1. Установить программу шифрования TrueCrypt. Выполнить симметричное шифрование данных с использованием файлового контейнера.

3.1. Установка TrueCrypt

  1. Стандартно устанавливаем!

  2. Запустите программу, дважды щелкну на ее ярлыке. В результате появится основное окно программы.



3.2 Симметричное шифрование данных с использованием TrueCrypt. Создание хранилища зашифрованных данных

  1. Сначала необходимо создать новый том (называемый также контейнером или зашифрованным хранилищем) в котором будут храниться конфиденциальные данные. В качестве тома (зашифрованного хранилища) можно использовать любой файл или целиком один из имеющихся разделов жесткого диска, а также flash-карту, дискету и другие съемные устройства хранения данных. Для этого в меню Тома выберите элемент нажимаем кнопку Создать новый том

В первом окне "Мастера создания томов TrueCrypt" (см. рис. ниже) будет предложено выбрать один из трех вариантов:

    1. создать файловый контейнер — будет создан виртуальный зашифрованный диск внутри любого файла. Этот вариант рекомендуется неопытным пользователям.

    2. создать том внутри несистемного раздела/диска — под зашифрованный контейнер будет использован целиком один из имеющихся жестких дисков или один из разделов жесткого диска, flash-карта, дискета или другое съемное устройство хранения данных.

    3. зашифровать раздел или весь диск с системой — можно полностью зашифровать диск или раздел на котором установлена и с которого грузится Windows. Перед каждой загрузкой Windows пользователю будет нужно вводить пароль для доступа к системе.


3.2.1. Шифрование с использованием файлового контейнера

      1. Выберите опцию "Создать зашифрованный файловый контейнер" и нажмите кнопку Далее.

      1. В следующем окне, следует выбрать обычный или скрытый том. Скрытый том — это дополнительная мера безопасности. Скрытый том всегда создается внутри обычного. Доступ к скрытому тому может получить только тот, кто знает о его существовании. Образно говоря, скрытый том это второе дно в контейнере, даже если злоумышленник сможет узнать пароль к вашему обычному тому, то все равно он не сможет получить доступ к данным в скрытом томе. Рассмотрим создание обычного тома для этого выберите опцию Обычный том TrueCrypt и нажмите кнопку Далее.

      1. В третьем окне мастера нажмите кнопку Файл и укажите имя и путь к создаваемому файлу для хранения нового тома. Чтобы не портить ни один из имеющихся файлов, укажем несуществующий файл, например, c:\Фамилия студента_film.avi (замаскируем файл контейнера под фильм). Программа TrueCrypt создаст файл самостоятельно.

      2. Можно указать любое название файла и любое расширение .doc, .wav, .jpg и т. д. Нажмите кнопку Далее.

      1. Выберите настройки шифрования и нажмите кнопку Далее.

      1. Выберите размер томя, например 650 Мб, и нажмите Далее.

В следующем окне требуется ввести пароль (максимальная длина пароля - 64 символа) и подтвердить его. Также можно выбрать ключевые файлы, т.е. файлы, которые нужно будет указывать каждый раз, когда будете монтировать том TrueCrypt. В качестве ключевых файлов подойдут любые, их расширение значения не имеет. Впоследствии необходимо следить за тем, чтобы файлы, выбранные в качестве ключевых, не были повреждены. Иначе будет невозможно смонтировать том TrueCrypt и получить доступ к данным.

Для выбора ключевых файлов установите флажок "Ключ. файлы" и нажмите кнопку "Ключ. файлы...". В открывшемся окне нажмите кнопку "Файлы..." и выберите ключевые файлы. При этом учтите, что запоминается путь, а не только имена файлов. Для того, чтобы том мог быть смонтирован, файлы должны располагаться в той же директории, что и при их выборе в качестве ключевых во время создания тома. Если добавить папку, нажав на кнопку "Папка", то все файлы внутри нее будут использоваться как ключевые.

      1. Введите пароль и подтвердите его. Нажмите кнопку Далее.

      1. Если вы ввели слишком короткий пароль, программа попросит подтвердить его дальнейшее использование. Согласитесь с использованием короткого пароля, нажав кнопку Да, или нажмите кнопку Нет и введите более длинный пароль.

      1. Задайте опции тома (можно оставить по умолчанию), в течение некоторого времени хаотично перемещайте мышь внутри окна и нажмите кнопку Разметить.

После создания тома будет выведено соответствующее окно. Нажмите кнопку OK.

Контейнер будет создан под видом обычного файла (см. рисунок). При этом он будет отформатирован и заполнен случайными данными.


Естественно, что при попытке запуска такого «фильма» будет выдано сообщение об ошибке.

      1. По окончании создания первого тома программа предложит создать еще один том. Если не хотите создать еще один контейнер, то нажмите Выход.

Созданный контейнер можно копировать и переносить на любых носителях, т. е. поступать с ним, как с самым обычным файлом.

Монтирование файлового контейнера.

Перед использованием контейнера (сохранением в него секретных данных) его необходимо подключить (примонтировать) к системе.

  1. В главном окне программы TrueCrypt выберите имя будущего логического диска (программа предлагает только те имена дисков, которые не используются в вашей системе), например, диск Z:. После выбора имени диска укажите том, т. е. файл который был создан на предыдущем этапе. Это можно сделать с помощью кнопки Файл. После выбора файла нажмите кнопку Смонтировать.

  1. Программа попросит ввести пароль на доступ к контейнеру. Введите пароль и нажмите кнопку OK.

Если пароль правильный после нажатия кнопки OK в системе появится новый диск Z: – это и есть примонтированный том.

Теперь на него можно записывать файлы и работать с ним, как с обычным диском. В свойствах диска можно увидеть файловую систему, под которую был отформатирован том и объем, который указан при его создании.

После того, как вы перепишете в контейнер все файлы, которые хотите скрыть, диск можно размонтировать (кнопка Размонтировать в главном окне программы). При этом его содержимое будет автоматически зашифровано!

После этого файл film.avi можно копировать, переносить с компьютера на компьютер, пересылать по почте и т. д. Чтобы контейнер можно было монтировать и работать с секретными данными нужна только программа TrueCrypt.

  1. Размонтируйте том.

  1. Самостоятельно создайте еще один файловый контейнер, но при этом выберите опцию создания скрытого тома (см. рисунок).

  2. В отчет поместите скрин-шоты с примонтированным файловым контейнером (файлом с Вашей фамилией) и содержимым примонтированного диска, подлежащим шифрованию (несколько любых файлов).



  1. Создать асимметричную пару ключей и продемонстрировать защищенный информационный обмен между корреспондентами.

3.1 Установка GNU PT

Установка программы стандартная

3.2 Настройка программы и создание связки ключей

GnuPG подписывает документы, используя асимметричные пары ключей, генерируемые пользователями GnuPG. Асимметричная пара ключей состоит из открытого (публичного) и закрытого (секретного) ключей. Секретный ключ необходимо хранить в безопасном месте и использовать для создания ЭЦП (электронной цифровой подписи). Публичный ключ необходимо передать стороне, желающей проверить достоверность подписи документа. Для каждой задачи (как то: защищённая переписка по электронной почте, электронная цифровая подпись, защищённая переписка в сетях мгновенных сообщений вроде Jabber) настоятельно рекомендуется использовать отдельные ключи


Смотрите также файлы