Проблемы безопасности сетей метод шифрования Избыточность Режимы шифрования Криптоанализ Профили сообщений Сертификаты IPsec Брандмауэры Виртуальные частные сети Безопасность в сетях 802 Анонимные рассылки

Сетевая файловая система (Network File System— NFS). Протокол, который позволяет компьютеру использовать диск удаленного компьютера таким образом, будто этот диск стоит на собственном компьютере пользователя.

Виртуальные частные сети

Многие компании владеют множеством подразделений, расположенных в разных городах, иногда даже в разных странах. До появления общедоступных сетей передачи данных обычным делом было арендовать выделенную телефонную линию для организации связи между некоторыми или всеми парами подразделений. В некоторых компаниях такой подход применяется до сих пор. Сеть, состоящая из компьютеров, принадлежащих компании, и выделенных телефонных линий, называется частной сетью. Пример частной сети, соединяющей три подразделения, показан на рис. 8.26, а.

Рис. 8.26. Частная сеть на основе выделенной линии (а); виртуальная частная сеть (б)

Частные сети работают хорошо и обладают высокой защищенностью. Если бы были доступны только выделенные линии, то отсутствовала бы проблема утечки трафика, и взломщикам пришлось бы физически подключаться к линиям, чтобы перехватить данные, а это не так просто. Беда в том, что стоимость аренды одного выделенного канала Т1 составляет тысячи долларов (в месяц!), а аренда линии ТЗ во много раз дороже. Когда появились общедоступные сети передачи данных, у компаний возникло естественное желание воспользоваться ими для передачи данных (а может, и голоса). При этом, правда, не хотелось терять свойства защищенности, присущие частной сети.

Это соображение вскоре привело к изобретению виртуальных частных сетей (VPN — Virtual Private Networks), которые являются оверлейными сетями, работающими поверх обычных общедоступных сетей, но обладающими свойствами частных сетей. Они называются «виртуальными», потому что такие сети — это почти иллюзия; аналогичным образом виртуальные каналы — это не реальные каналы, а виртуальная память — это не реальная память.

Хотя виртуальные частные сети могут строиться на основе ATM (или сетей с коммутацией кадров — frame relay), все более популярным становится организация VPN прямо в Интернете. При этом обычно каждый офис оборудуется брандмауэром и создаются интернет-туннели между всеми парами офисов, как показано на рис. 8.26, б. Если IPsec работает в режиме туннелирования, можно собрать весь трафик между любыми двумя парами офисов в один надежный поток и установить защищающую связь, обеспечив тем самым контроль целостности, секретности и даже определенный иммунитет против анализа трафика.

При запуске системы каждая пара брандмауэров должна договориться о параметрах защищающей связи, таких как набор услуг, режимов, алгоритмов и ключей. Во многие брандмауэры встроен специальный инструментарий для работы с виртуальными частными сетями, но можно построить систему и на обычных маршрутизаторах. Тем не менее, поскольку брандмауэры — это почти неотъемлемая часть систем сетевой безопасности, вполне естественно начинать и заканчивать туннели именно на брандмауэрах, проводя четкую границу между компанией и Интернетом. Таким образом, наиболее распространенная комбинация подразумевает наличие брандмауэров, виртуальных частных сетей и IPsec с ESP в режиме туннелирования.

После установки защищающей связи начинается передача данных. С точки зрения маршрутизатора, работающего в Интернете, пакет, проходящий по туннелю VPN, — это самый обычный пакет. Единственное, что его отличает от остальных, это наличие заголовка IPsec после заголовка IP. Но поскольку дополнительные заголовки на процесс пересылки никак не влияют, маршрутизаторы не сильно беспокоит заголовок IPsec.

Основное преимущество такой организации виртуальной частной сети состоит в том, что она совершенно прозрачна для всего пользовательского ПО. Установкой и управлением защищающих связей занимаются брандмауэры. Единственный человек, которому есть дело до настройки сети, — это системный администратор, который обязан сконфигурировать и поддерживать брандмауэры. Для всех остальных виртуальная частная сеть мало чем отличается от частной сети на основе выделенной линии. Более подробно про VPN написано в (Brown, 1999; Izzo, 2000).

Симметричное шифрование (symmetric encryption). Тип шифрования, в котором для шифрования и дешифрования используется один и тот же ключ.
Безопасность в компьютерных сетях Криптография Ядерные испытания