Туннелирование в VPN

Як вказувалося вище, основне завдання, яке вирішується VPN, – приховати пе-редавать трафік При цьому необхідно приховати як передані дані, так і адреси реальних відправника і одержувача пакетів І крім того, необ-хідно забезпечити цілісність і справжність переданих даних Для захисту переданих даних і реальних IP-адрес застосовуються крипто-графічні алгоритми При відправці пакетів застосовується туннелирование, тобто в пакетах, які йдуть у відкритій мережі, в якості адрес фігурують тільки адреси «чорних ящиків» Крім того, туннелирование припускає, що всередині локальних мереж трафік передається у відкритому вигляді, а його захист здійснюється тільки тоді, коли він потрапляє в «тунель»

Отже, нехай у нас є пакет, що містить дані і IP-заголовок, ко-

торие підлягають захисту (рис 52) Для захисту застосуємо криптографічні методи і зашіфруем і дані, і заголовок разом Так як необхідно забезпе-

чити швидкість обробки інформації, то для зашифрування, природно,

будемо використовувати симетричний алгоритм

Відомо, що застосування симетричних алгоритмів шифрування вимагае розвязання задачі поширення симетричних ключів Тому по-ступимо наступним чином: прикріпимо симетричний ключ прямо до зашіф- ванням з його використанням даними Назвемо симетричний ключ пакет-ним ключем (його ще називають сеансовим ключем) Цей пакетний ключ бу-дем генерувати випадковим чином при відправленні кожного нового пакета (тоді він дійсно «пакетний» ключ) Або будемо його генерувати також випадково при кожному сеансі обміну Тоді дані всіх пакетів, пере-даються в даному сеансі звязку, будуть шифруватися одним і тим же ключем, і це вже «сеансовий» ключ

Звичайно, не можна відправляти пакетний ключ у відкритому вигляді, прикреп-додаючи його до зашифрованих ним даними Слід його зашифрувати Скористайся-емся тим, що ключ, на відміну від даних, – це лише пара сотень біт (В залежності від реалізації, наприклад, 256 біт – довжина ключа алгоритму ГОСТ

28147-89, 56 біт – довжина ключа алгоритму DES) Таким чином, можемо застосувати більш повільні асиметричні алгоритми і зашифрувати з їх допомогою пакетний ключ Разом з тим, для шифрування пакетного ключа

може бути застосований і симетричний алгоритм Ключ алгоритму шіфрова-

ня пакетного ключа назвемо ключем звязку

IP-заголовок

Шифруються на пакетному ключі і підписуються ЕЦП

Дані

ЕЦП пакета

Пакетний ключ

IP-заголовок

Дані

Аутентифицирующей заголовок

Пакетний ключ шифрується на ключі звязку, формується новий IP-пакет (IP-адреси пристроїв захисту)

IP-заголовок

ЕЦП пакета

Пакетний ключ

IP-заголовок

Дані

Рис 52 Перетворення відправляється пакета

Крім того, для забезпечення цілісності пакетів згенеруємо елек-тронному-цифровий підпис (ЕЦП) нашого пакету і прикріпити її до формуючи-мому пакету

Сукупність ЕЦП та зашифрованого пакетного ключа називають ау-

тентіфіцірующім заголовком

Для того щоб відправити згенерований нами пакет, необхідно додати до нього IP-адреси джерела і приймача У разі тунелю цими адресами будуть адреси прикордонних VPN-вузлів Якщо ж захищається трафік між двома вузлами без застосування тунелю, то ці адреси співпадуть з адре-самі у вихідному пакеті

Таким чином, вихідний пакет захищений Залишилося зясувати ряд мо-

ментів По-перше, яким чином буде здійснено обмін ключем звязку і, по-друге, що будемо розуміти під шіфруемого даними: тільки лише дан-ні прикладного рівня або відносяться до транспортного чи мережному рівню

Щоб відповісти на друге питання, розглянемо рівні захищених ка-

налов

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*