Раздел: Документация

0 ... 58 59 60 61 62 63 64 ... 125

В этом окне вы получите дополнительную информацию о сертификате, например, кем он был выпущен и с помощью каких алгоритмов.

Резюме

Применение криптографии позволяет решить три задачи, связанные с обменом важными данными через Internet. Методы криптографии служат также для аутентификации участвующих сторон, проверки целостности данных и обеспечения секретности обмена информацией за счет шифрования сообщений.

Симметричные алгоритмы, имеющие один ключ, обычно работают быстрее, чем асимметричные алгоритмы, пользующиеся парой связанных между собой ключей - секретный/открытый. На практике оба эти подхода применяются вместе для дополнительного усиления защиты. Примерами технологий, в основе которых лежат оба метода, являются протокол SSL и программа PGP, которая обсуждается в главе 11.

В следующей главе мы рассмотрим практическое применение криптографии: формирование защищенных каналов связи в Internet посредством виртуальных закрытых сетей. В этой главе также будут описаны два важных для создания сетей VPN протокола: IPSec и РРТР.

---

Виртуальные частные сети туннелирование

Установка защищенных соединений в Internet

Первая мысль, которая приходит на ум при необходимости создать защищенный канал для взаимодействия с удаленным подразделением, - применить для этого выделенную линию (или модемное соединение, если трафик небольшой и непостоянный). Но имеет ли смысл использовать для этого сеть Internet, которая уже реализует быструю связь между большинством точек на земном шаре по цене намного более низкой, чем стоимость аренды выделенной линии или международных звонков? Вы можете возразить, что модемное соединение или выделенная линия обеспечивают большую безопасность, поскольку данные перемещаются по определенному маршруту и их не так легко перехватить посторонним. В Internet невозможно управлять маршрутом доставки пакетов адресату.

Для защиты пересылаемой через Internet электронной почты и прикрепленных файлов подходят программы, подобные Pretty Good Privacy (PGP), взломать защиту которых очень сложно. Как мы видели в предыдущей главе, для обмена конфиденциальной информацией в Web служит протокол Secure Socket Layer (SSL).

I Применение PGP для защиты электронной почты описано более подробно ! в главе 11.

i J

Для обычного соединения, по которому две сети обмениваются между собой данными различных типов при помощи протокола IP, необходимо другое решение. И таким решением является Виртуальная частная сеть (Virtual Private Network, VPN); по ней туннелируется зашифрованный сетевой трафик между двумя точками для его защиты от любопытных глаз.

---

Консорциум Virtual Private Network Consortium

Этой организации поставщиков продуктов VPN принадлежит Web-сайт, который полезен всем желающим изучить технологию VPN более подробно, чем изложено в настоящей главе. Вы найдете домашнюю страницу VPNC по следующему адресу: http://www.vpnc.ora. Этот Web-сайт включает в себя ссылки на различные документы о VPN, такие как стандарты RFC и рабочие документы IETF. Вы также можете подписаться на список рассылки сайта, чтобы оставаться в курсе новых разработок консорциума технологий VPN.

Что такое виртуальная частная сеть

Виртуальная частная сеть представляет собой туннель поверх общедоступной сетевой инфраструктуры, такой как Internet. Она называется туннелем (tunnel), поскольку передаваемые данные вначале шифруются, а затем помещаются в IP-пакеты, что предотвращает чтение содержимого перехваченных пакетов и скрывает личности отправителя и получателя. VPN в настоящее время создаются тремя основными методами:

О соединением двух сетей (network to network). При этом для построения VPN на каждом конце обычно устанавливается брандмауэр или маршрутизатор;

О подключением узла к сети (host to network). К сети предприятия подключается удаленный компьютер с клиентским программным обеспечением VPN;

О модемным подключением через провайдера (dial-up ISP to network). Некоторые провайдеры Internet обеспечивают возможность работы с VPN клиентам, подключающимся по коммутируемой линии связи.

Как видите, виртуальные частные сети, обычно прокладываемыемежду двумя брандмауэрами или маршрутизаторами, могут также соединять с сетью удаленный узел, настроенный соответствующим образом. На рис. 10.1 приведен пример использования VPN-соединения для связи между двумя сетями через Internet.

В этом примере за шифрование и упаковку трафика в IP-пакеты в каждой из сетей отвечают брандмауэры. Если рабочей станции в одной сети необходимо получить доступ к серверу в другой сети, брандмауэр помещает IP-пакеты клиента внутрь собственных IP-пакетов. Затем эти пакеты передаются по Internet. При этом в качестве адресов отправителя и получателя в них указаны адреса брандмауэров, а не клиента или сервера. Это свойство VPN позволяет скрывать адреса узлов вашей сети. Исходный IP-пакет пересылается в сжатом и зашифрованном формате, поэтому его содержимое будет бесполезным для перехватившего его нарушителя.

Еще одно важное свойство VPN - поддержка аутентификации. Два брандмауэра в рассматриваемом примере применяют строгую аутентификацию, чтобы проверить, действительно ли каждый полученный пакет пришел от другого участника взаимодействия.

Большинство поддерживающих VPN брандмауэров поставляются с клиентским программным обеспечением, которое позволяет отдельным компьютерам устанавливать защищенное соединение с брандмауэром через Internet. Клиенты

0 ... 58 59 60 61 62 63 64 ... 125