- •Федеральное агентство связи
- •1.2 Качество обслуживания в vpn
- •1.3 Защита данных в vpn
- •Организация vpn
- •2.1 Vpn устройства
- •Расположение vpn устройств в сети
- •Пользовательская схема
- •2.2.2 Провайдерская схема
- •Смешанная схема
- •3 Характеристики услуги vpn
- •4 Оценка надёжности услуги vpn
- •5 Оценка безопасности услуги vpn
- •5.1 Экспертная модель
- •5.2 Экономическая модель
- •5.3 Вероятностная модель
- •6 Криптографические протоколы
- •6.1 Классификация криптографических протоколов
- •6.2 Атаки на протоколы
- •6.3 Протоколы vpn
- •7 Постановка задачи
- •8 Требования к выполнению курсового проекта
- •Литература
- •Приложение б Исходные данные
- •Приложение в Решения для проектирования vpn Аппаратно-программный комплекс криптон-ip компании «анкад»
- •Решение ViPNet Custom компании«Инфотекс»
- •Решения «Микротест» на базе сертифицированных vpn-продуктов компании «Инфотекс»
- •Межсетевые экраны Juniper Networks (NetScreen)
- •Решение компании Alcatel-Lucent (Lucent Secure vpn)
- •Решение компании Cisco Systems
1.2 Качество обслуживания в vpn
Параметрами качества обслуживания в VPNявляются характеристики транспортного обслуживания: задержка, вариация задержки и доля потерянных пакетов при транспортировке по сети. Эти параметры оговариваются в соглашении о качестве обслуживания, которое заключается между провайдером сети и клиентом. Для обеспечения качества обслуживания необходимы дополнительные технологические механизмы, встроенные в протоколы и оборудование сети.
Технология FRимеет встроенные возможности для поддержки дифференцированного качества обслуживания для разных виртуальных каналов. Гарантируемыми параметрами качества являются средняя согласованная пропускная способность и максимальная пульсация трафика. Если клиенту нужно передавать разные виды трафика с разным качеством обслуживания, то он просто заказывает несколько виртуальных каналов соответствующего качества.
Технология АТМ имеет более тонкие процедуры поддержания параметров качества обслуживания, чем технология FR. АТМ предоставляет трафику реального времени гарантии по задержкам передаваемых пакетов.
Internetпока не может дать пользователям гарантий дифференцированного обслуживания.
В частных IP-сетях провайдер имеет набор механизмов для дифференцированного обслуживания своих клиентов. К таким механизмам относятся приоритетное обслуживание (обслуживание очередейWFQ), резервирование полосы пропускания ( протокол резервирования ресурсовRSVP), поддержка виртуальных каналов ( протокол коммутации метокMPLS).
1.3 Защита данных в vpn
Для того чтобы виртуальные частные сети использовались как полноценный транспорт для передачи трафика, необходимы не только гарантии на качество передачи, но и гарантии в безопасности передаваемых данных. Многие специалисты прежде всего связывают термин “виртуальные частные сети” именно с безопасностью данных.
При подключении корпоративной сети к любой открытой сети возникает два вида угроз:
несанкционированный доступ к внутренним ресурсам корпоративной сети, полученный злоумышленником в результате логического входа в эту сеть,
несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети.
Для того чтобы виртуальная частная сеть по уровню безопасности приблизилась к истинной частной сети, в которой эти угрозы практически отсутствуют, VPNдолжна включать средства для отображения угроз как первого, так второго типов. К средствамVPNотносится широкий круг устройств безопасности: многофункциональные брандмауэры, маршрутизаторы со встроенными возможностями фильтрации пакетов,proxy-серверы, аппаратные и программные шифраторы передаваемого трафика.
Организация vpn
2.1 Vpn устройства
Виртуальные частные сети отличаются друг от друга многими характеристиками: набором функциональных возможностей VPN-устройств, точками размещенияVPN-устройств, типом платформы, на которой работают эти устройства, применяемыми протоколами шифрования и аутентификации. Существует несколько типовVPN-устройств:
отдельное аппаратное устройствоVPNна основе специализированной ОС реального времени, имеющее два или более сетевых интерфейса и аппаратную криптографическую поддержку,
отдельное программное решение, которое дополняет стандартную операционную систему функциямиVPN,
расширение брандмауэраза счет дополнительных функций защищенного канала,
средства VPN, встроенные в маршрутизаторили коммутатор.
Устройства VPNмогут играть в виртуальных частных сетях роль шлюза или клиента.
Шлюз VPN– это сетевое устройство, подключенное к нескольким сетям, которое выполняет функции шифрования и аутентификации для многочисленных хостов позади него. Размещение шлюза должно быть аналогично размещению брандмауэра, т.е. таким образом, чтобы через него проходил весь трафик, предназначенный для внутренней корпоративной сети. В зависимости от стратегии безопасности предприятия, исходящие пакеты либо шифруются, либо посылаются в открытом виде, либо блокируются шлюзом. Для входящих туннелируемых пакетов внешний адрес является адресомVPN-шлюза, а внутренний адрес – адресом некоторого хоста позади шлюза. ШлюзVPNможет быть реализован всеми перечисленными выше способами, т.е. в виде отдельного аппаратного устройства, отдельного программного решения, а также в виде брандмауэра или маршрутизатора, дополненных функциямиVPN.
Клиент VPN– это программный или аппаратно-программный комплекс, обычно на базе персонального компьютера. Его сетевое транспортное обеспечение модифицировано для выполнения шифрования и аутентификации трафика, которым устройство обменивается со шлюзамиVPNи/или другими клиентамиVPN. Обычно реализацияVPN-клиента представляет собой программное решение.
Для создания виртуальной частной сети предприятия нужны как VPN-шлюзы, так иVPN-клиенты. Шлюзы целесообразно использовать для защиты локальных сетей предприятия, аVPN-клиенты – для удаленных и мобильных пользователей, которым требуется устанавливать соединения с корпоративной сетью через Интернет.