Раздел: Документация

0 ... 62 63 64 65 66 67 68 ... 125

1 96 ВИРТУАЛЬНЫЕ ЧАСТНЫЕ СЕТИ И ТУННЕЛИРОВАНИЕ

......>t

По окончании создания управляющего канала между клиентом и сервером для установки сеансов связи между ними применяются различные типы сообщений вызова.

Обмен информацией о соединении также реализуется посредством сообщения об ошибке WAN.

Передача данных по туннелю РРТР

После установки соединения существующий виртуальный туннель может служить для обмена данными между клиентом и сервером РРТР. Посылаемый клиентом пакет сначала шифруется, а затем помещается внутрь IP-пакета и направляется серверу РРТР. Поскольку исходный РРР-пакет зашифрован, его пересылка по Internet безопасна. Даже перехватив IP-пакет, нарушитель будет располагать только информацией из заголовка пакета. Содержащиеся в РРР-пакете данные защищаются криптографическим алгоритмом.

Различие между методами туннелирования, применяемыми протоколами РРТР и IPSec, состоит в том, что в случае IPSec для каждого сеанса между клиентом и сервером создается новая защищенная связь, а РРТР мультиплексирует множество сеансов связи между клиентом и сервером в единственном туннеле.

Протокол Layer Two Tunneling Protocol

Сейчас разрабатывается новый стандарт технологии VPN, сочетающий лучшие части из РРТР и протокола L2F компании Cisco, - протокол Layer Two Tunneling Protocol (L2TP, Протокол туннелирования канального уровня). Данный протокол лишь недавно был описан в документе RFC 2661 «Layer Two Tunneling Protocol (L2TP)». По мере развития этой технологии можно ожидать ее внедрения в клиентское и серверное ПО VPN-сетей. Если вас интересует дальнейшая судьба этого протокола, посетите домашнюю страницу рабочей группы IETF, посвященную его расширениям: http://www.ietf.org/html.charters/l2tpext-charter.html.

Резюме

Виртуальные частные сети позволяют компаниям создавать защищенные закрытые каналы связи поверх общедоступных сетей, таких как Internet. Применение VPN-соединений зачастую приводит к снижению стоимости соединения между собой географически удаленных офисов и подключения большого числа удаленных или мобильных пользователей. Вместо применявшихся в прошлом различных собственных разработок, сегодня большинство компаний широко использует для создания VPN-сетей стандартные протоколы IPSec и РРТР. Развитие стандартов в конечном итоге определит возможность формирования VPN с помощью программных и аппаратных средств от различных поставщиков. В ближайшем будущем это сделает виртуальные частные сети одной из привычных функциональных возможностей Internet.

---

Применение Pretty Good Privacy

Защита передаваемых в Internet данных

В двух предыдущих главах обсуждалось шифрование и создание виртуальных частных сетей. Чтобы обычные люди могли доверять Internet передачу конфиденциальной информации (такой как номер кредитной карточки), необходимо убедить их, что подобные сведения можно зашифровать столь надежно, что раскрыть их будет практически невозможно. Для подключения локальной сети к удаленному офису удобно использовать VPN и другие методы, но при работе с покупателями и производителями такой подход не всегда окажется практичным. В подобной ситуации следует оценить возможность применения одной из популярных криптографических программ, такой как Pretty Good Privacy (PGP, «довольно хорошая секретность»).

Патент RSA

На момент написания настоящей книги патент RSA еще не утратил силу. Но в конце 2000 года срок его действия истек, и защищенные им алгоритмы шифрования стали общедоступными.

Программа PGP, первоначально разработанная Филиппом Циммерманом (Phillip Zimmerman), представляет собой систему шифрования с открытым ключом. Ее последняя версия основана на запатентованной технологии RS А. Аббревиатура RS А образована из инициалов ее разработчиков: Ривеста (Rivest), Шамира (Shamir) и Адельмена (Adelmen). Коммерческое использование программы разрешено только при условии ее покупки. Но бесплатную копию, предназначенную для некоммерческого персонального применения, можно загрузить по следующему адресу: http://www.nai.com/default pgp.asp.

---

На этом сайте вы обнаружите, что программа PGP доступна как в виде исходного текста (для систем UNIX), так и в форме исполняемого файла для нескольких платформ, в том числе для Windows, DOS и Macintosh. Можно работать с PGP посредством интерфейса командной строки или графического интерфейса.

Бесплатные версии существуют для следующих платформ:

О Windows NT, Windows 95/98 (исполняемые файлы, интерфейс командной строки и GUI);

О Macintosh (исполняемые файлы и исходный текст, графический интерфейс);

О Linux (исполняемые файлы, интерфейс командной строки); О Solaris (исполняемые файлы, интерфейс командной строки); О DOS или UNIX (исходный текст, интерфейс командной строки).

Установка PGP

Метод установки PGP зависит от конкретной операционной системы. В этой главе рассмотрена установка в UNIX и Windows NT.

Установка PGP в UNIX

Для установки PGP в системе UNIX вначале необходимо скомпилировать исходный текст и поместить полученные исполняемые файлы в нужный каталог. Затем надо подготовить программу к работе, создав пару из открытого и секретного ключей.

После распаковки файла . tar следует прежде всего прочитать текстовый файл setup. doc, содержащий инструкции по компиляции PGP в различных разновидностях UNIX и Linux. Завершив компиляцию, создайте специальный каталог только для PGP и определите указывающую на него переменную окружения PGPATH, например:

#mkdir .pgp

#setenv PGPATH /user/ogletree/.pgp

Это определение стоит добавить в конец файла ~ / . csri env, чтобы вам не приходилось каждый раз вводить его заново.

Следующий шаг состоит в создании пары из открытого/секретного ключей. Для этого в PGP служит ключ командной строки -к:

#pgp -kg

Необходимо ввести такую информацию:

О Key size (Размер ключа). Чем больше размер ключа, тем сильнее будут защищены ваши данные. В ответ на этот запрос можно задать 1 (512 бит), 2 (768 бит), 3 (1024 бит) или любое другое число (размер ключа будет равен этому числу);

О Key User ID (Идентификатор пользователя). Имя, по которому можно найти ключ. Обычно в качестве имени ключа указывают имя пользователя

0 ... 62 63 64 65 66 67 68 ... 125