Відмінності між версіями «Передавання інформації через захищені мережі»

Рядок 35: Рядок 35:
 
Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів.<br>      Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів.<br>      Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).
 
<br>
 
<br>
 +
== ==
 
{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}}<br>
 
{{Студент | Name=Ганна | Surname=Паздрій | FatherNAme=Любомирівна |Faculti=ФІС | Group=СН-41 | Zalbook=ПК-07-016}}<br>
  

Версія за 15:31, 13 квітня 2011

Невідредагована стаття
Цю статтю потрібно відредагувати.
Щоб вона відповідала ВИМОГАМ.


Захищена або приватна віртуальна мережа (Virtual Private Network, VPN) - об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює.
Назва походить від протиставлення приватних (Private) мереж (корпоративних мереж, не доступних для сторонніх користувачів) публічним (Public) мережам (відкритим мережам, мережам загального доступу). Слід зауважити, що слово «private» в англійській мові є синонімом слова «secret» «таємний». Хоча термін «віртуальні приватні мережі» дуже поширений, деякі фахівці надають перевагу терміну «віртуальні захищені мережі», оскільки ця технологія стосується не приватної власності, а захисту інформації.

Проблеми побудови віртуальних захищених мереж

  • Забезпечення конфіденційності

Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття. Попри те що алгоритми шифрування є дуже складними, їх реалізація великих ускладнень не викликає (докладно про шифрування йдеться в розділі 3). А от організація криптосистеми, зокрема підсистеми керування ключами, може викликати багато проблем, насамперед у випадку, коли кількість користувачів стрімко зростає. У реалізації VPN керування ключами є одним із головних завдань, що потребує надійного та ефективного рішення. Щоразу, коли йдеться про шифрування, згадують про його неминучий побічний ефект, що полягає у деякій втраті продуктивності. Апаратно реалізоване шифрування передбачає застосування у пристроях захисту спеціалізованих інтегральних схем прикладної орієнтації (Application Specific Integrated Circuit, ASIC), що звільняють ці пристрої від додаткового навантаження, пов'язаного з виконанням алгоритмів шифрування, і забезпечують кодування трафіку без втрати швидкості обміну. Основною перевагою апаратно реалізованих засобів шифрування над програмно реалізованими насамперед вважають забезпечення необхідних показників продуктивності. Є й інша перевага: у разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, зокрема тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апаратні засоби є малоймовірною.


  • Забезпечення цілісності

Як і конфіденційності, цілісності досягають використанням криптографічних алгоритмів, але не шифрування, а хешування. Алгоритми хешування також потребують значних ресурсів процесора, що знов-таки свідчить на користь реалізації цих алгоритмів апаратними засобами з використанням інтегральних схем прикладної орієнтації.


  • Автентифікація та унеможливлення відмови від авторства

Унеможливлення відмови від авторства — це додаткова функція, яку реалізовано на основі автентифікації. Захищене спілкування часто потребує не лише підтвердження того, що абонент є тим, за кого себе видає, але й незаперечних доказів того, що повідомлення отримане від конкретного користувача. Інколи захищене спілкування потребує доказового підтвердження ще й того факту, що певний користувач справді отримав деяке повідомлення. Ці функції захисту в окремих випадках розглядають як невід'ємну складову реалізації VPN.

Способи утворення захищених віртуальних каналів

Будь-який із двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно є різні способи утворення захищеного віртуального каналу.


Найкращим із міркувань безпеки є варіант, коли кінцеві точки тунелю збігаються з кінцевими точками потоку повідомлень. Наприклад, це може бути сервер у центральному офісі компанії та робоча станція користувача у віддаленій філії або портативний комп'ютер співробітника, який перебуває у відрядженні. Перевагою такого варіанта є те, що захист інформаційного обміну буде забезпечено на всьому шляху пакетів повідомлень. Однак такий варіант має суттєвий недолік — децентралізацію керування. Засоби утворення захищених тунелів потрібно встановлювати і належним чином настроювати на кожному клієнтському комп'ютері, що у великих мережах є занадто трудомісткою задачею.


Помітного спрощення завдань адміністрування можна досягти шляхом відмови від захисту трафіку всередині локальної мережі (або локальних мереж), що входить до складу VPN. Така ситуація є достатньо поширеною, оскільки захистити трафік у локальній мережі можна іншими засобами, зокрема реєструючи дії користувачів і вживаючи організаційних заходів. У такому випадку кінцевою точкою захищеного тунелю доцільно обрати брандмауер або граничний маршрутизатор локальної мережі. Захищений тунель утворюють лише у публічній мережі.


Складність адміністрування засобів утворення захищених тунелів, встановлених на комп'ютерах (зокрема, на портативних пристроях), з яких здійснюють від¬далений доступ, зумовлює поширення ще одного варіанта утворення такого тунелю. Як кінцеві точки захищеного тунелю у цьому випадку застосовують засоби, встановлені не на комп'ютерах користувачів, а на теренах інтернет-провайдерів.
Зрозуміло, що такий захист менш надійний, проте цей варіант утворення захищеного тунелю є найпростішим із міркувань адміністрування. Він має ще кілька переваг: підвищену масштабованість і керованість мережі та прозорість доступу до неї. Аргументація на користь припустимості такого зниження захищеності полягає в тому, що саме Інтернет, як і решта мереж із комутацією пакетів, несе найбільшу загрозу з боку порушників. Канали телефонної мережі та виділені лінії, що використовують між кінцевими вузлами віддаленого доступу і провайдерами, які у цьому випадку і є незахищеними, не такі вразливі. Слід визнати, що розміщення засобів утворення захищених тунелів на теренах інтернет-провайдерів дає змогу зекономити кошти, витрачені на адміністрування кінцевих вузлів, але натомість збільшує витрати на послуги провайдерів (яким ще потрібно довіряти).

{{{img}}}
Імя Ганна
Прізвище Паздрій
По-батькові Любомирівна
Факультет ФІС
Група СН-41
Залікова книжка ПК-07-016



Репозиторія
Презентація доповіді на тему Передавання інформації через захищені мережі
є розміщеною в Репозиторії.



Список літературних джерел

  • Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с.

Посилання