Технологии защищенного канала
Технологии защищенного канала
Технология защищенного канала призвана обеспечивать безопасность передачи данных по открытой транспортной сети Интернет. Защищенный канал включает в себя выполнение трех основных функций:
· Взаимная аутентификация абонентов;
· Защита передаваемых сообщений от несанкционированного доступа;
· Подтверждение целостности поступающих по каналу сообщений.
3.6. Операционные системы ЛВС - лекция, которая пользуется популярностью у тех, кто читал эту лекцию.
Взаимная аутентификация сторон при установлении соединения может быть выполнена путем обмена сертификатами. Секретность также может быть обеспечена методом шифрования данных. Например, сообщения шифруются с использованием симметричных ключей, которыми стороны обмениваются при установлении соединения. Такие ключи передаются также в зашифрованном виде, но они шифруются с помощью открытых ключей. Использование для защиты сообщений симметричных ключей связано с тем, что скорость процессов шифрации и дешифрации на основе симметричного ключа выше, чем при использовании несимметричных ключей.
Защищенный канал в сети часто называют виртуальной частной сетью (Virtual Private Network, VPN). Существует два способа образования VPN:
1. С помощью программного обеспечения конечных узлов;
2. С помощью программного обеспечения шлюзов.
В первом случае программное обеспечение, установленное на компьютере клиента, устанавливает защищенный канал с сервером корпоративной сети, к ресурсам которого клиент обращается. Преимуществом подхода является защищенность канала вдоль всего пути следования, а также возможность использования любых протоколов создания защищенных каналов. Недостатки заключаются в избыточности и децентрализованности. Избыточность состоит в том, что уязвимыми для злоумышленников являются сети с коммутацией пакетов, а не каналы телефонной сети или выделенные каналы. Поэтому установка программного обеспечения на каждый компьютер клиента и каждый сервер корпоративной сети не является необходимой. Децентрализация процедур создания защищенных каналов не позволяет вести централизованное управление доступом к ресурсам сети, а отдельное администрирование каждого сервера и каждого клиента с целью конфигурирования в них средств защиты данных – это трудоемкая процедура.
Во втором случае клиенты и серверы не участвуют в создании защищенного канала. Он прокладывается внутри публичной сети с коммутацией пакетов. Канал создается между сервером удаленного доступа и пограничным маршрутизатором корпоративной сети. Это решение управляется централизованно либо администратором корпоративной сети, либо администратором сети провайдера. Для клиентских компьютеров и серверов корпоративной сети программное обеспечение остается без изменений. Реализация подхода сложнее - нужен стандартный протокол образования защищенного канала, установка программного обеспечения, поддерживающего такой протокол у всех провайдеров, поддержка протокола производителями серверов удаленного доступа.