Відмінності між версіями «Передавання інформації через захищені мережі»

Рядок 8: Рядок 8:
 
Щоразу, коли йдеться про шифрування, згадують про його неминучий по¬бічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих ін¬тегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втра¬ти швидкості обміну. Основною перевагою апаратно реалізованих засобів шиф¬рування над програмно реалізованими насамперед вважають забезпечення не¬обхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 
Щоразу, коли йдеться про шифрування, згадують про його неминучий по¬бічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих ін¬тегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втра¬ти швидкості обміну. Основною перевагою апаратно реалізованих засобів шиф¬рування над програмно реалізованими насамперед вважають забезпечення не¬обхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
 
   
 
   
 +
<br>
  
 +
'''Забезпечення цілісності'''<br>
 +
Як і конфіденційності, цілісності досягають використанням криптографічних ал¬горитмів, але не шифрування, а хешування. Алгоритми хешування також потре¬бують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прик¬ладної орієнтації.
 +
 +
<br>
 +
 +
'''Автентифікація та унеможливлення відмови від авторства'''<br>
 +
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвер¬дження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користу¬вач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
 +
<br>
 +
 +
== Способи утворення захищених віртуальних каналів ==
 +
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який за¬хищають. Відповідно є різні способи утворення захищеного віртуального каналу.
 +
Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збіга¬ються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Пере¬вагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно вста¬новлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
 +
Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що вхо¬дить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії ко¬ристувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
 +
Складність адміністрування засобів утворення захищених тунелів, встановле¬них на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого туне¬лю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захище¬ного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька пе¬реваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності поля-гає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе най¬більшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що роз¬міщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
<br>
 
<br>

Версія за 10:33, 13 квітня 2011

Визначення терміну "Захищена або приватна віртуальна мережа "

Захищена або приватна віртуальна мережа (Virtual Private Network, VPN) - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює.
Назва походить від протис¬тавлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мере¬жам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні ме¬режі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації.

Проблеми побудови віртуальних захищених мереж

Забезпечення конфіденційності
Найпростішим і найпоширенішим способом забезпечення конфіденційності ін¬формації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення. Щоразу, коли йдеться про шифрування, згадують про його неминучий по¬бічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих ін¬тегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втра¬ти швидкості обміну. Основною перевагою апаратно реалізованих засобів шиф¬рування над програмно реалізованими насамперед вважають забезпечення не¬обхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.


Забезпечення цілісності
Як і конфіденційності, цілісності досягають використанням криптографічних ал¬горитмів, але не шифрування, а хешування. Алгоритми хешування також потре¬бують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прик¬ладної орієнтації.


Автентифікація та унеможливлення відмови від авторства
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвер¬дження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користу¬вач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.

Способи утворення захищених віртуальних каналів

Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який за¬хищають. Відповідно є різні способи утворення захищеного віртуального каналу. Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збіга¬ються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Пере¬вагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно вста¬новлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею. Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що вхо¬дить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії ко¬ристувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі. Складність адміністрування засобів утворення захищених тунелів, встановле¬них на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого туне¬лю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів. Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захище¬ного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька пе¬реваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності поля-гає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе най¬більшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що роз¬міщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).