Wiki ТНТУ - Внесок користувача [uk]

Передавання інформації через захищені мережі

2011-05-05T11:40:07Z

Anna:

{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 
{{Презентація доповіді |title= [http://elartu.tntu.edu.ua/handle/123456789/977 Передавання інформації через захищені мережі]}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 

== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апаратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спілкування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 

== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]
*[http://www.nestor.minsk.by/sr/2005/03/050315.html VPN и IPSec на пальцах]

[[Категорія: Індивідуальні завдання виступу на семінарах з предмету "Комп'ютерні системи захисту інформації"]]
[[Категорія:Виступ на семінарі]]

2010-2011рр - Індивідуальні завдання виступу на семінарах з предмету "Комп'ютерні системи захисту інформації"

2011-05-05T11:36:28Z

Anna:

# (23.02.2011р.) [[Користувач:andry_ad |Дереш Андрій]]:[[Переповнення буфера|Переповнення буфера]].
# (09.03.2011р.) [[Користувач:lenalunak | Лунак Олена]]: [[Порушники в інформаційній безпеці]].
# (09.03.2011p.) [[Користувач:bilinska_lida | Білінська Лідія]] : [[Загрози безпеці інформації]].
# (09.03.2011p.) [[Користувач:Мальвінка | Тетяна Паньків]] : [[Термінологія дисципліни Комп’ютерні системи захисту інформації]].
# (23.03.2011р.) [[Користувач:Svetik_B7 | Барабаш Світлана]]: [[Кваліфікаційний аналіз засобів і систем захисту інформації]].
# (23.03.2011p.) [[Користувач:Zahir| Ковальчук Лариса]] : [[Типове положення про службу захисту інформації в автоматизованій системі]].
# (23.03.2011p.) [[Користувач:Natalochka| Чура Наталя]] : [[Рекомендації щодо структури та змісту Плану захисту інформації в автоматизованій системі]].
# (06.04.2011p.) [[Користувач:Anna| Ганна Паздрій]] : [[Передавання інформації через захищені мережі]].
# (14.04.2011p.) [[Користувач:GalkaPr| Галина Пригодська]] : [[ІSO/IЕС 27002 «Інформаційні технології — Методики безпеки — Практичні правила управління безпекою інформації»]]
# (23.02.2011р.) [[Користувач:bodyk | Сікач Богдан]]: [[Основи безпеки інформації в комп'ютерних мереж]].
# (23.03.2011р.) [[Користувач:fenomix | Вашенюк Павло]]: [[Безпека прикладних служб інтернету]].
# (06.04.2011р.) [[Користувач:vikysja | Савула Вікторія]]: [[Ідентифікація та аутентифікація. Управління доступом.]].
# (06.04.2011р.) [[Користувач:Inna Tyurina | Тюріна Інна]]: [[Управління ризиками]].
Рекомендовані статті для розкриття по предмету:
[[Модель порушника]]
[[Захищена комп'ютерна система]]

Передавання інформації через захищені мережі

2011-04-14T13:32:54Z

Anna:

{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 
{{Презентація доповіді |title= Передавання інформації через захищені мережі}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апаратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спілкування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 

== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]
*[http://www.nestor.minsk.by/sr/2005/03/050315.html VPN и IPSec на пальцах]

[[Категорія: Індивідуальні завдання виступу на семінарах з предмету "Комп'ютерні системи захисту інформації"]]
[[Категорія:Виступ на семінарі]]

Передавання інформації через захищені мережі

2011-04-14T08:42:06Z

Anna:

{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 
{{Презентація доповіді |title=[ Передавання інформації через захищені мережі]}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апаратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спілкування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 

== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]
*[http://www.nestor.minsk.by/sr/2005/03/050315.html VPN и IPSec на пальцах]

[[Категорія: Індивідуальні завдання виступу на семінарах з предмету "Комп'ютерні системи захисту інформації"]]
[[Категорія:Виступ на семінарі]]

Передавання інформації через захищені мережі

2011-04-14T08:41:43Z

Anna:

{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 
{{Презентація доповіді |title=[http:// Передавання інформації через захищені мережі]}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апаратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спілкування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 

== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]
*[http://www.nestor.minsk.by/sr/2005/03/050315.html VPN и IPSec на пальцах]

[[Категорія: Індивідуальні завдання виступу на семінарах з предмету "Комп'ютерні системи захисту інформації"]]
[[Категорія:Виступ на семінарі]]

Комп'ютерна система

2011-04-13T18:48:53Z

Anna:

==Визначення терміну "Комп'ютерна система"==
'''Комп'ютерна система''' (визначення згідно з НД ТЗІ 1.1-003-99 "Термінологія в області захисту інформації в комп'ютерних системах від несанкціонованого доступу" ) - це сукупність програмно-апаратних засобів, яку подають на оцінювання. Під оцінюванням тут розуміють експертне оцінювання захищеності інформації в системі, яке є складовою експертизи або сертифікації на відповідність чинним нормативним документам і стандартам. Таке оцінювання ще називають кваліфікаційним аналізом (рос. квалификационный анализ, англ. evaluation). Еквівалентом терміну "Комп'ютерна система" (у тому значенні, в якому його було тут подано)є: рос. - компьютерная система, обьект оценки, англ. - target of evaluation. Термін "Комп'ютерна система" у НД ТЗІ вживають до об'єктів оцінювання різних класів як узагальнення термінів "обчислювальна система" та "автоматизована система".

Комп'ютерна система

2011-04-13T18:47:30Z

Anna:

==Визначення терміну "Комп'ютерна система"==
'''Комп'ютерна система''' (визначення згідно з НД ТЗІ 1.1-003-99 "Термінологія в області захисту інформації в комп'ютерних системах від несанкціонованого доступу" ) - це сукупність програмно-апаратних засобів, яку подають на оцінювання. під оцінюванням тут розуміють експертне оцінювання захищеності інформації в системі, яке є складовою експертизи або сертифікації на відповідність чинним нормативним документам і стандартам. Таке оцінювання ще називають кваліфікаційним аналізом (рос. квалификационный анализ, англ. evaluation). Еквівалентом терміну "Комп'ютерна система" (у тому значенні, в якому його було тут подано)є: рос. - компьютерная система, обьект оценки, англ. - target of evaluation. Термін "Комп'ютерна система" у НД ТЗІ вживають до об'єктів оцінювання різних класів як узагальнення термінів "обчислювальна система" та "автоматизована система".

Комп'ютерна система

2011-04-13T18:46:51Z

Anna:

==Визначення терміну "Комп'ютерна система"==
Комп'ютерна система (визначення згідно з НД ТЗІ 1.1-003-99 "Термінологія в області захисту інформації в комп'ютерних системах від несанкціонованого доступу" )- це сукупність програмно-апаратних засобів, яку подають на оцінювання. під оцінюванням тут розуміють експертне оцінювання захищеності інформації в системі, яке є складовою експертизи або сертифікації на відповідність чинним нормативним документам і стандартам. Таке оцінювання ще називають кваліфікаційним аналізом (рос. квалификационный анализ, англ. evaluation). Еквівалентом терміну "Комп'ютерна система" (у тому значенні, в якому його було тут подано)є: рос. - компьютерная система, обьект оценки, англ. - target of evaluation. Термін "Комп'ютерна система" у НД ТЗІ вживають до об'єктів оцінювання різних класів як узагальнення термінів "обчислювальна система" та "автоматизована система".

Комп'ютерна система

2011-04-13T18:45:22Z

Anna:

===Визначення терміну "Комп'ютерна система"===
Комп'ютерна система (визначення згідно з НД ТЗІ 1.1-003-99 "Термінологія в області захисту інформації в комп'ютерних системах від несанкціонованого доступу" )- це сукупність програмно-апаратних засобів, яку подають на оцінювання. під оцінюванням тут розуміють експертне оцінювання захищеності інформації в системі, яке є складовою експертизи або сертифікації на відповідність чинним нормативним документам і стандартам. Таке оцінювання ще називають кваліфікаційним аналізом (рос. квалификационный анализ, англ. evaluation). Еквівалентом терміну "Комп'ютерна система" (у тому значенні, в якому його було тут подано)є: рос. - компьютерная система, обьект оценки, англ. - target of evaluation. Термін "Комп'ютерна система" у НД ТЗІ вживають до об'єктів оцінювання різних класів як узагальнення термінів "обчислювальна система" та "автоматизована система".

Комп'ютерна система

2011-04-13T18:43:00Z

Anna: Створена сторінка: Згідно з НД ТЗІ 1.1-003-99 "Термінологія в області захисту інформації в комп'ютерних системах …

Згідно з НД ТЗІ 1.1-003-99 "Термінологія в області захисту інформації в комп'ютерних системах від несанкціонованого доступу"

Комп'ютерна система - це сукупність програмно-апаратних засобів, яку подають на оцінювання. під оцінюванням тут розуміють експертне оцінювання захищеності інформації в системі, яке є складовою експертизи або сертифікації на відповідність чинним нормативним документам і стандартам. Таке оцінювання ще називають кваліфікаційним аналізом (рос. квалификационный анализ, англ. evaluation). Еквівалентом терміну "Комп'ютерна система" (у тому значенні, в якому його було тут подано)є: рос. - компьютерная система, обьект оценки, англ. - target of evaluation. Термін "Комп'ютерна система" у НД ТЗІ вживають до об'єктів оцінювання різних класів як узагальнення термінів "обчислювальна система" та "автоматизована система".

КОМП'ЮТЕРНІ СИСТЕМИ ЗАХИСТУ ІНФОРМАЦІЇ

2011-04-13T18:19:42Z

Anna:

__NOTOC__
 <center>[http://dl.tstu.edu.ua/325/content/11566/ Дистанційне навчання з предмету "Комп'ютерні_системи_захисту_інформації"]</center>
 
== Література в ел.вигляді з предмету "Комп'ютерні_системи_захисту_інформації" ==
* Прохання до всіх студентів - дописуйте тут перелік літератури в ел.вигляді з вказанням URL
* [[URL_Література_Комп'ютерні_системи_захисту_інформації| ЛІТЕРАТУРА в інтернеті з предмету "Комп'ютерні_системи_захисту_інформації"]]

== Індивідуальні завдання ==
* [[2009-2010рр - Індивідуальні завдання виступу на семінарах з предмету "Комп'ютерні_системи_захисту_інформації"]]
* [[2010-2011рр - Індивідуальні завдання виступу на семінарах з предмету "Комп'ютерні_системи_захисту_інформації"]]

== Орієнтовний перелік тем (статей термінів) для ІНДИВІДУАЛЬНОГО ЗАВДАННЯ ==

* [[Вимоги до написання статей у Wiki університету ]]
[http://uk.wikipedia.org/wiki/%D0%9A%D1%80%D0%B5%D0%BA%D0%B5%D1%80_(%D0%BA%D0%BE%D0%BC%D0%BF%27%D1%8E%D1%82%D0%B5%D1%80%D0%BD%D0%B8%D0%B9_%D0%B7%D0%BB%D0%B0%D0%BC%D1%83%D0%B2%D0%B0%D1%87) Крекер] 

[[Кракер]] 
[[Інформаційно-комунікаційні системи (ІКС)]] 
[[Комп'ютерна система]] 
[[Завдання захисту інформації]] 
[[Вади захисту]] 
[[Порушник]] 
[[Об'єкт захисту]] 
[[Комплекс засобів захисту]] 
[[Об'єкт системи]] 
[[Об'єкт-користувач]] 
[[Об'єкт-процес]] 
[[Доступ]] 
[[Правила розмежування доступу]] 
[[Ідентифікатор]] 
[[Авторизація]] 
[[Відмова від одержання]] 
[[Кваліфікаційний аналіз]] 
[[Гарантії]] 
[[Загрози безпеці інформації]] 
[[Класифікація атак]] 
[[Методика класифікації загроз STRIDE]] 
[[Підміна об'єктів]] 
[[Модифікація даних]] 
[[Відмова від авторства]] 
[[Розголошення інформації]] 
[[Відмова від обслуговування]] 
[[Підвищення привілеїв]] 
[[Модель загроз]] 
[[Наслідки від дій порушників]] 
[[Модель порушника]] 
[[Безпека інформації]] 
[[Віддалене проникнення]] 
[[Локальне проникнення]] 
[[Сканування мережі]] 
[[Сканери уразливостей]] 
[[]] 
[[]] 
[[]] 
[[]] 
[[]] 
[[]] 
[[]] 
[[]] 
[[]] 
[[]] 
[[]] 

Прохання також описувати вже існуючі в укравікі терміни (не тільки створені тут) а всі, що стосуються предмета.
Наприклад
[http://uk.wikipedia.org/wiki/Методи_боротьби_з_Dos/DDos_атаками Методи боротьби з Dos або DDos атаками]

== Ми співпрацюємо з Української вікіпедією ==
Прохання вашу статтю паралельно розміщувати на uk.wikipedia.org, наприклад:
{{Стаття Вікі| article=[http://uk.wikipedia.org/wiki/Методи_боротьби_з_Dos/DDos_атаками Методи боротьби з Dos/DDos атаками] }}

== Орієнтовний перелік тем для ІНДИВІДУАЛЬНОГО ЗАВДАННЯ ==
#Основні види атак на інформацію та методи її захисту
#Сучасна ситуація в області інформаційної безпеки
#Категорії інформаційної безпеки
#Теоретичні моделі моделі захисту
#Огляд видів атак на інформацю
#Огляд популярних та пошук можливих методів “взлому”
#Термінальні системи
#Отримання паролів доступу на основі помилок адміністратора та користувачів
#Несанкціонований вхід в систему на основі помилок реалізаці ПЗ та моделі захисту
#Соціальний аспект та психологічні методи отримання паролів
#Класифікація криптоалгоритмів
#Скремблери
#Загальні відомості про блочні шифри
#Сітка Фейштеля
#Блоковий шифр TEA
#AES:стандарт блочних шифрів США
#Загальні відомості про конкурс AES
#Фіналіст AES – шифр MARS
#Фіналіст AES – шифр RC6
#Фіналіст AES – шифр Serpent
#Фіналіст AES – шифр TwoFish
#Переможець AES – шифр Rijndael
#Симетричні криптосистеми
#Функції криптосистем
#Алгоритми створення ланцюжків
#Методи рандомізації повідомлень
#Огляд методик рандомізації
#Генератори випадкових і псевдовипадкових послідовностей
#[[Архівація даних|Архівація]]
#Загальні принципи архівації. Класифікація методів
#Алгоритм Хаффмана
#Алгоритм Лемпеля-Зива
#Хешування паролей
#Транспортне кодування
#Загальна схема симетричної крипносистеми
#Асиметричні криптоалгоритми
#Загальні відомості про асиметричні криптоалгоритми
#Алгоритм RSA
#Технології цифрових підписів
#Механізм розповсюдження відкритих ключів
#Обмін ключами по алгоритму Диффи-Хеллмана
#Асиметричні криптосистеми
#Мережева безпека
#Об’єкти мережевих атак
#Захист серверів
#Захист робочі станцій
#Захист ередовище передачі інформації
#Вузли комунікацій мереж
#Рівні мережевих атак згідно моделі OSI
#Апаратна безпека
#Огляд сучасного ПЗ захисту
#Захист інформації на рівні операційної системи
#Захист інформації на рівні прикладних програм
#Помилки, що приводять до можливості атак на інформацію
#Основні положення для розробки ПЗ та забезпечення конфіденційності інформації
#Класифікація інформаційних об’єктів комплексної системи захисту
#Класифікація по необхідному рівні безвідказності комплексної системи захисту
#Класифікація по рівню конфіденційності комплексної системи захисту
#Вимоги по роботі з конфіденційною інформацією
#Політика ролей
#Створення політики інформаційної безпеки
#Методи забезпечення безвідказності системи
Ваш варіант теми з предмету комп'ютерні системи захисту інформації.

Щоб закріпити тему за собою напишіть відповідь на [http://dl.tstu.edu.ua/123/forum/270/589/ форумах], і вкажіть: групу, прізвище та конкретну тему, що ви вибрали.

Якщо тема надто широка - сформулюйте її більш-вузько. Бажано вказати які питання ви не плануєте висвітлювати.

<analytics uacct="UA-19815617-1" ></analytics>

Передавання інформації через захищені мережі

2011-04-13T13:36:41Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апаратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спілкування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 

== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 

{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]
*[http://www.nestor.minsk.by/sr/2005/03/050315.html VPN и IPSec на пальцах]

Передавання інформації через захищені мережі

2011-04-13T13:34:58Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апаратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спілкування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 

== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
== ==
{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]
*[http://www.nestor.minsk.by/sr/2005/03/050315.html VPN и IPSec на пальцах]

Передавання інформації через захищені мережі

2011-04-13T13:34:30Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апаратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спілкування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 

== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
== ==
{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]
*[http://www.nestor.minsk.by/sr/2005/03/050315.html VPN и IPSec на пальцах]

Передавання інформації через захищені мережі

2011-04-13T13:33:58Z

Anna: /* */

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апаратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спілкування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 

== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
== ==
{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]
*[http://www.nestor.minsk.by/sr/2005/03/050315.html VPN и IPSec на пальцах]

Передавання інформації через захищені мережі

2011-04-13T13:33:38Z

Anna: /* */

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апаратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спілкування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 

== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
== ==
{{Студент |jhj Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]
*[http://www.nestor.minsk.by/sr/2005/03/050315.html VPN и IPSec на пальцах]

Передавання інформації через захищені мережі

2011-04-13T13:31:10Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апаратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спілкування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 

== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
== ==
{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]
*[http://www.nestor.minsk.by/sr/2005/03/050315.html VPN и IPSec на пальцах]

Передавання інформації через захищені мережі

2011-04-13T13:30:02Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апаратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спілкування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 

== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]
*[http://www.nestor.minsk.by/sr/2005/03/050315.html VPN и IPSec на пальцах]

Передавання інформації через захищені мережі

2011-04-13T13:29:27Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апаратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спілкування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 

== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]
*[http://www.nestor.minsk.by/sr/2005/03/050315.html VPN и IPSec на пальцах]

Дивись також: {{#if:|[[{{{1}}}]] | Інші статті
}}{{#if:|{{#if:|, | та }} [[{{{2}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{3}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{4}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{5}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{6}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{7}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{8}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{9}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{10}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{11}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{12}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{13}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{14}}}]] }}{{#if:|, та [[{{{15}}}]] }}{{#if:|…Шаблон:Seealso максимумум 15 статей
}}

Передавання інформації через захищені мережі

2011-04-13T13:28:38Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апаратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спілкування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 

== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]
*[http://www.nestor.minsk.by/sr/2005/03/050315.html VPN и IPSec на пальцах]

Передавання інформації через захищені мережі

2011-04-13T13:28:16Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апаратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спілкування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 

== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]
*[http://www.nestor.minsk.by/sr/2005/03/050315.html VPN и IPSec на пальцах]

{{#if:jgj|{{#if:|, | та }}

Передавання інформації через захищені мережі

2011-04-13T13:27:48Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апаратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спілкування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 

== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]
*[http://www.nestor.minsk.by/sr/2005/03/050315.html VPN и IPSec на пальцах]

}}{{#if:|{{#if:|, | та }}

Передавання інформації через захищені мережі

2011-04-13T13:27:15Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апаратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спілкування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 

== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]
*[http://www.nestor.minsk.by/sr/2005/03/050315.html VPN и IPSec на пальцах]

}}{{#if:|{{#if:|, | та }} [[{{{2}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{3}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{4}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{5}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{6}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{7}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{8}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{9}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{10}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{11}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{12}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{13}}}]] }}{{#if:|{{#if:|, |, та }} [[{{{14}}}]] }}{{#if:|, та [[{{{15}}}]]

Передавання інформації через захищені мережі

2011-04-13T13:21:57Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апаратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спілкування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 

== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]
*[http://www.nestor.minsk.by/sr/2005/03/050315.html VPN и IPSec на пальцах]

Передавання інформації через захищені мережі

2011-04-13T13:17:06Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 

== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]
*[http://www.nestor.minsk.by/sr/2005/03/050315.html VPN и IPSec на пальцах]

Передавання інформації через захищені мережі

2011-04-13T13:15:29Z

Anna: /* Проблеми побудови віртуальних захищених мереж */

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 

'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 

== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]
*[http://www.nestor.minsk.by/sr/2005/03/050315.html VPN и IPSec на пальцах]

Передавання інформації через захищені мережі

2011-04-13T13:12:06Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]
*[http://www.nestor.minsk.by/sr/2005/03/050315.html VPN и IPSec на пальцах]

Передавання інформації через захищені мережі

2011-04-13T13:08:49Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]

Передавання інформації через захищені мережі

2011-04-13T13:08:25Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
{{Студент= =) | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]

Передавання інформації через захищені мережі

2011-04-13T13:07:40Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
*[http://uk.wikipedia.org/wiki/VPN VPN]
*[http://en.wikipedia.org/wiki/OpenVPN OpenVPN]

Передавання інформації через захищені мережі

2011-04-13T13:00:35Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
[http://uk.wikipedia.org/wiki/VPN VPN]

Передавання інформації через захищені мережі

2011-04-13T13:00:00Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}} 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с. 

==Посилання==
[http://uk.wikipedia.org/wiki/VPN VPN]

Передавання інформації через захищені мережі

2011-04-13T12:58:45Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}}

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с.

===Посилання===
[http://uk.wikipedia.org/wiki/VPN VPN]

Передавання інформації через захищені мережі

2011-04-13T12:57:18Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с.

===Зовнішні посилання===
[http://uk.wikipedia.org/wiki/VPN VPN]

Передавання інформації через захищені мережі

2011-04-13T12:48:31Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 

{{Презентація доповіді |title=[http://dl.tntu.edu.ua/123/content/23908/ Передавання інформації через захищені мережі]}}

{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с.

Передавання інформації через захищені мережі

2011-04-13T12:46:52Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 

{{Презентація доповіді |title=[http://Адреса Передавання інформації через захищені мережі]}}

{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с.

Передавання інформації через захищені мережі

2011-04-13T12:44:17Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 

{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с.

Передавання інформації через захищені мережі

2011-04-13T12:43:22Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 

{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=07-016}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с.

Передавання інформації через захищені мережі

2011-04-13T12:41:43Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 

{{Студент | Name=Ганна | Surname=Прізвище | FatherNAme=По-батькові |Faculti=Факультет | Group=Група | Zalbook=№ залікової книжки}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с.

Передавання інформації через захищені мережі

2011-04-13T12:40:40Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 

{{Студент | Name=Імя | Surname=Прізвище | FatherNAme=По-батькові |Faculti=Факультет | Group=Група | Zalbook=№ залікової книжки}}

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с.

Передавання інформації через захищені мережі

2011-04-13T12:36:32Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

*'''Забезпечення конфіденційності'''
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 

*'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

*'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с.

Передавання інформації через захищені мережі

2011-04-13T12:30:25Z

Anna:

{{Невідредаговано}}
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

==='''Забезпечення конфіденційності'''===
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 

'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 

==Список літературних джерел==
* Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с.

Передавання інформації через захищені мережі

2011-04-13T08:43:34Z

Anna:

== Визначення терміну "Захищена або приватна віртуальна мережа " ==
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==

'''Забезпечення конфіденційності''' 
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 

'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 

Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 

Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 

Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).

Передавання інформації через захищені мережі

2011-04-13T08:42:44Z

Anna:

Передавання інформації через захищені мережі

2011-04-13T08:42:13Z

Anna:

Передавання інформації через захищені мережі

2011-04-13T08:41:04Z

Anna:

== Визначення терміну "Захищена або приватна віртуальна мережа " ==
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==
'''Забезпечення конфіденційності''' 
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 

'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 

'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 
Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 
Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 
Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).

Передавання інформації через захищені мережі

2011-04-13T08:40:07Z

Anna:

== Визначення терміну "Захищена або приватна віртуальна мережа " ==
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==
'''Забезпечення конфіденційності''' 
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 
'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 
'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 
Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 
Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 
Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).

Передавання інформації через захищені мережі

2011-04-13T08:36:38Z

Anna:

== Визначення терміну "Захищена або приватна віртуальна мережа " ==
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мере¬жам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні ме¬режі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==
'''Забезпечення конфіденційності''' 
Найпростішим і найпоширенішим способом забезпечення конфіденційності ін¬формації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий по¬бічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих ін¬тегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втра¬ти швидкості обміну. Основною перевагою апаратно реалізованих засобів шиф¬рування над програмно реалізованими насамперед вважають забезпечення не¬обхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 
'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних ал¬горитмів, але не шифрування, а хешування. Алгоритми хешування також потре¬бують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прик¬ладної орієнтації.
 
'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвер¬дження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користу¬вач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який за¬хищають. Відповідно є різні способи утворення захищеного віртуального каналу.
Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збіга¬ються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Пере¬вагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно вста¬новлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що вхо¬дить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії ко¬ристувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
Складність адміністрування засобів утворення захищених тунелів, встановле¬них на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого туне¬лю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захище¬ного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька пе¬реваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності поля-гає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе най¬більшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що роз¬міщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).

Передавання інформації через захищені мережі

2011-04-13T08:36:03Z

Anna:

== Визначення терміну "Захищена або приватна віртуальна мережа " ==
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мере¬жам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні ме¬режі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 
== Проблеми побудови віртуальних захищених мереж ==
'''Забезпечення конфіденційності''' 
Найпростішим і найпоширенішим способом забезпечення конфіденційності ін¬формації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий по¬бічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих ін¬тегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втра¬ти швидкості обміну. Основною перевагою апаратно реалізованих засобів шиф¬рування над програмно реалізованими насамперед вважають забезпечення не¬обхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 
'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних ал¬горитмів, але не шифрування, а хешування. Алгоритми хешування також потре¬бують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прик¬ладної орієнтації.
 
'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвер¬дження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користу¬вач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який за¬хищають. Відповідно є різні способи утворення захищеного віртуального каналу.
Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збіга¬ються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Пере¬вагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно вста¬новлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що вхо¬дить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії ко¬ристувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
Складність адміністрування засобів утворення захищених тунелів, встановле¬них на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого туне¬лю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захище¬ного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька пе¬реваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності поля-гає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе най¬більшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що роз¬міщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).

Передавання інформації через захищені мережі

2011-04-13T08:33:12Z

Anna:

== Визначення терміну "Захищена або приватна віртуальна мережа " ==
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)] - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює. 
Назва походить від протис¬тавлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мере¬жам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні ме¬режі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації. 

== Проблеми побудови віртуальних захищених мереж ==
'''Забезпечення конфіденційності''' 
Найпростішим і найпоширенішим способом забезпечення конфіденційності ін¬формації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий по¬бічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих ін¬тегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втра¬ти швидкості обміну. Основною перевагою апаратно реалізованих засобів шиф¬рування над програмно реалізованими насамперед вважають забезпечення не¬обхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.

 

'''Забезпечення цілісності''' 
Як і конфіденційності, цілісності досягають використанням криптографічних ал¬горитмів, але не шифрування, а хешування. Алгоритми хешування також потре¬бують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прик¬ладної орієнтації.

 

'''Автентифікація та унеможливлення відмови від авторства''' 
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвер¬дження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користу¬вач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 

== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який за¬хищають. Відповідно є різні способи утворення захищеного віртуального каналу.
Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збіга¬ються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Пере¬вагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно вста¬новлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що вхо¬дить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії ко¬ристувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
Складність адміністрування засобів утворення захищених тунелів, встановле¬них на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого туне¬лю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захище¬ного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька пе¬реваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності поля-гає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе най¬більшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що роз¬міщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).