Відмінності між версіями «Передавання інформації через захищені мережі»
Anna (обговорення • внесок) (→Проблеми побудови віртуальних захищених мереж) |
Anna (обговорення • внесок) |
||
Рядок 5: | Рядок 5: | ||
− | '''Забезпечення конфіденційності''' | + | *'''Забезпечення конфіденційності''' |
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення. | Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення. | ||
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною. | Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною. | ||
Рядок 11: | Рядок 11: | ||
− | '''Забезпечення цілісності'''<br> | + | *'''Забезпечення цілісності'''<br> |
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації. | Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації. | ||
<br> | <br> | ||
− | '''Автентифікація та унеможливлення відмови від авторства'''<br> | + | *'''Автентифікація та унеможливлення відмови від авторства'''<br> |
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN. | Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN. | ||
<br> | <br> |
Версія за 15:17, 13 квітня 2011
Цю статтю потрібно відредагувати. Щоб вона відповідала ВИМОГАМ. |
Захищена або приватна віртуальна мережа (Virtual Private Network, VPN) - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює.
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації.
Зміст
Проблеми побудови віртуальних захищених мереж
- Забезпечення конфіденційності
Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення.
Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апа¬ратні засоби є малоймовірною.
- Забезпечення цілісності
Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.
- Автентифікація та унеможливлення відмови від авторства
Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спіл¬кування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.
Способи утворення захищених віртуальних каналів
Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.
Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.
Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.
Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів.
Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
{{{img}}} | ||
Імя | Ганна | |
Прізвище | Паздрій | |
По-батькові | Любомирівна | |
Факультет | ФІС | |
Група | СН-41 | |
Залікова книжка | ПК-07-016 |
Презентація доповіді на тему Передавання інформації через захищені мережі є розміщеною в Репозиторії. |
Список літературних джерел
- Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с.