Відмінності між версіями «Передавання інформації через захищені мережі»

Рядок 1: Рядок 1:
 
== Визначення терміну "Захищена або приватна віртуальна мережа " ==
 
== Визначення терміну "Захищена або приватна віртуальна мережа " ==
 
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)]  - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює.<br>
 
[http://http://uk.wikipedia.org/wiki/VPN Захищена або приватна віртуальна мережа (Virtual Private Network, VPN)]  - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює.<br>
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мере¬жам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні ме¬режі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації.<br>
+
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації.<br>
 
== Проблеми побудови віртуальних захищених мереж ==
 
== Проблеми побудови віртуальних захищених мереж ==
 
'''Забезпечення конфіденційності'''<br>
 
'''Забезпечення конфіденційності'''<br>
Найпростішим і найпоширенішим способом забезпечення конфіденційності ін¬формації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
+
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий по¬бічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих ін¬тегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втра¬ти швидкості обміну. Основною перевагою апаратно реалізованих засобів шиф¬рування над програмно реалізованими насамперед вважають забезпечення не¬обхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
+
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 
<br>
 
<br>
 
'''Забезпечення цілісності'''<br>
 
'''Забезпечення цілісності'''<br>
Як і конфіденційності, цілісності досягають використанням криптографічних ал¬горитмів, але не шифрування, а хешування. Алгоритми хешування також потре¬бують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прик¬ладної орієнтації.
+
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
 
<br>
 
<br>
 
'''Автентифікація та унеможливлення відмови від авторства'''<br>
 
'''Автентифікація та унеможливлення відмови від авторства'''<br>
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвер¬дження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користу¬вач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
+
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 
<br>
 
<br>
 
== Способи утворення захищених віртуальних каналів ==
 
== Способи утворення захищених віртуальних каналів ==
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який за¬хищають. Відповідно є різні способи утворення захищеного віртуального каналу.
+
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
  Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збіга¬ються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Пере¬вагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно вста¬новлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
+
<br>
Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що вхо¬дить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії ко¬ристувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
+
Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
Складність адміністрування засобів утворення захищених тунелів, встановле¬них на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого туне¬лю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів.      Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захище¬ного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька пе¬реваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності поля-гає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе най¬більшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що роз¬міщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
+
<br>
 +
Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 +
<br>
 +
Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів.<br>       Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
<br>
 
<br>

Версія за 10:40, 13 квітня 2011

Визначення терміну "Захищена або приватна віртуальна мережа "

Захищена або приватна віртуальна мережа (Virtual Private Network, VPN) - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює.
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації.

Проблеми побудови віртуальних захищених мереж

Забезпечення конфіденційності
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення. Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
Забезпечення цілісності
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
Автентифікація та унеможливлення відмови від авторства
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.

Способи утворення захищених віртуальних каналів

Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів.
Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).