Security

Виртуальные частные сети - VPN

Средства VPN должны предоставлять основные услуги безопасности: Конфиденциальность – это гарантия того, что в процессе

передачи данных по каналам VPN эти данные не будут просмотрены посторонними лицами.

Целостность – гарантия сохранности передаваемых данных.

Никому не разрешается менять, модифицировать, разрушать или создавать новые данные при передаче по каналам VPN. Доступность – гарантия того, что средства VPN постоянно доступны легальным пользователям.

Для решения этих задач в решениях VPN используются такие средства как шифрование данных для обеспечения целостности и конфиденциальности, аутентификация и авторизации для проверки прав пользователя и разрешения доступа к сети VPN, резервирование для обеспечения отказоустойчивости.

Туннелирование

Нельзя полностью контролировать данные при их передаче через каналы и узлы интернет, принадлежащие различным провайдерам. Поэтому требуются механизмы по обеспечению защиты передаваемых данных.

Туннель – это тот инструмент, который позволяет сделать VPN

«виртуальной» частной сетью.

Туннель создаётся двумя пограничными устройствами, размещёнными в точках входа в публичную сеть.

Процесс туннелирования осуществляется при помощи 3-х типов протоколов:

•Passenger protocol – инкапсулируемый протокол; •Encapsulating protocol – инкапсулирующий протокол; •Carrier protocol – протокол доставки.

Туннелирование

Процесс туннелирования выглядит следующим образом: Исходный пакет помещвется в новый пакет – пакет инкапсулирующего протокола. Полученный новый пакет помещается в пакет протокола доставки (как правило, это протокол IP) для передачи по общедоступной сети.

Т.е. при инкапсуляции кадр не передаётся в сгенерированном узлом-

отправителем виде, а снабжается дополнительным заголовком, содержащем информацию о маршруте, позволяющую проходить через промежуточную сеть (Интернет). На другом конце туннеля кадры деинкапсулируются и передаются получателю.

Таким образом, благодаря гибкому механизму и многоуровневой структуре VPN, достигается возможность передавать по интернет в инкапсулированном и зашифрованном виде пакеты таких протоколов, как IPX или NetBeui, что обычными средствами сделать не получиться.

Шифрование

Туннелирование не обеспечивает полной безопасности, передавемых через интернет данных. Исходный пакет просто инкапсулируется в пакет инкапсулирующего протокола.

Т.е. данные передаются в открытом виде и могут быть

перехвачены.

Поэтому данные, передавемые по туннелю VPN, должны быть зашифрованы. Перед отправкой данные шифруются узломотправителем (или VPN-шлюзом) и передаются по уже установленному туннелю. Затем данные отправляются получателю, который дешифрует информацию. Только обладатель ключа к шифру может дешифровать данные.

Шифрование

Симметричные алгоритмы шифрования (с закрытым ключём)

Cпособ шифрования, в котором для шифрования и расшифровывания применяется один и тот же криптографический ключ.

Ключ алгоритма должен сохраняться в секрете обеими сторонами.

Симметричные алгоритмы бывают:

1. Блочные. Обрабатывают информацию блоками определённой длины (обычно 64, 128 бит), применяя к блоку ключ в установленном порядке, как правило, несколькими циклами перемешивания и подстановки, называемыми раундами.

2. Поточные . В которых шифрование проводится над каждым битом либо байтом исходного (открытого) текста.

Шифрование

Симметричные алгоритмы шифрования

Требования

1.Утрата всех статистических закономерностей исходного сообщения. Для этого шифр должен иметь «эффект лавины» — должно происходить сильное изменение шифроблока при однобитном изменении входных данных (в идеале должны меняться значения половины бит шифроблока)

2.Oтсутствие линейности

Примеры симметричных алгоритмов

AES (Advanced Encryption Standard) (Rijndael)- стандарт шифрования в США

DES (Data Encryption Standard) - стандарт шифрования данных в США до AES 3DES (Triple-DES, тройной DES)

ГОСТ 28147-89 — стандарт шифрования данных в СССР

RC2, RC4, RC5, RC6 (Шифр Ривеста ) Blowfish, Twofish

IDEA (International Data Encryption Algorithm, Ascom-Tech AG, Швейцария) CAST (Carlisle Adams и Stafford Tavares)

Шифрование

Симметричные алгоритмы шифрования

Достоинства:

1.Cкорость

2.Простота реализации

3.Меньшая требуемая длина ключа для сопоставимой стойкости

4.Изученность

Недостатки:

1.Сложность управления ключами в большой сети. Означает квадратичное возрастание числа пар ключей, которые надо генерировать, передавать, хранить и уничтожать в сети. Для сети в 10 абонентов требуется 45 ключей, для 100 уже 4950 и т. д.

2.Сложность обмена ключами. Для применения необходимо решить проблему надёжной передачи ключей каждому абоненту, так как нужен секретный канал для передачи каждого ключа обеим сторонам.

Шифрование

ГОСТ 28147-89

1.Один из 32-битных субблоков данных складывается с 32-битным значением ключа раунда Kх по модулю 232.

2.Результат предыдущей операции разбивается на 8 фрагментов по 4 бита, которые параллельно «прогоняются» через 8 таблиц замен S1…S8. Таблицы замен в стандарте не определены.

3.4-битные фрагменты (после замен) объединяются обратно в 32-битный субблок, значение которого циклически сдвигается влево на 11 бит.

4.Обработанный предыдущими операциями субблок накладывается на необработанный с помощью побитовой логической операции «исключающее или» (XOR).

5.Субблоки меняются местами.

Шифрование