Обоснование выбора протоколов и технологии построения локальной беспроводной сети

2.2.1 Стандарт Wi-Fi IEEE 802.11. Стандарт RadioEthernet IEEE 802.11 - это стандарт организации беспроводных коммуникаций на ограниченной территории в режиме локальной сети, то есть когда несколько абонентов имеют равноправный доступ к общему каналу передач. 802.11 - первый промышленный стандарт для беспроводных локальных сетей (Wireless Local Area Networks), или WLAN. Стандарт был разработан Institute of Electrical and Electronics Engineers (IEEE).

Стандарт IEEE 802.11 работает на двух уровнях модели OSI – физическом и канальном.

Список стандартов:

1. 802.11 – изначальный 1 Мбит/с и 2 Мбит/c, 2,4 ГГц и ИК стандарт (1997);

2. 802.11a – 54 Мбит/c, 5 ГГц стандарт (1999, выход продуктов в 2001);

3. 802.11b – улучшения к 802.11 для поддержки 5,5 и 11 Мбит/с (1999);

4. 802.11c – процедуры операций с мостами; включен в стандарт IEEE 802.11d (2001);

5. 802.11d – интернациональные роуминговые расширения (2001);

6. 802.11e – улучшения: QoS, пакетный режим (packet bursting) (2005);

7. 802.11g – 54 Мбит/c, 2,4 ГГц стандарт (обратная совместимость с b) (2003);

8. 802.11h – распределённый по спектру 802.11a (5 GHz) для совместимости в Европе (2004);

9. 802.11i – улучшенная безопасность, WPA2 (2004);

10. 802.11m – поправки и исправления для всей группы стандартов 802.11;

11. 802.11n – увеличение скорости передачи данных (600 Мбит/c). 2,4-2,5 или 5 ГГц. Обратная совместимость с 802.11a/b/g. Особенно распространён на рынке в США в устройствах D-Link, Cisco и Apple (сентябрь 2009);

12. 802.11p – WAVE – Wireless Access for the Vehicular Environment (беспроводной доступ для среды транспортного средства);

13. 802.11r – быстрый роуминг;

14. 802.11u – взаимодействие с не-802 сетями (например, сотовыми);

15. 802.11v – управление беспроводными сетями;

16. 802.11y – дополнительный стандарт связи, работающий на частотах 3,65-3,70 ГГц. Обеспечивает скорость до 54 Мбит/с на расстоянии до 5000 м на открытом пространстве;

17. 802.11ac – новый стандарт IEEE. Скорость передачи данных до 6,77 Гбит/с для устройств, имеющих 8 антенн. Утвержден в январе 2014 года;

18. 802.11ad – новый стандарт с дополнительным диапазоном 60 ГГц (частота не требует лицензирования). Скорость передачи данных — до 7 Гбит/с.

2.2.2 Сравнение стандартов.

802.11a. Стандарт сетей, функционирующих в диапазоне 5 ГГц со скоростью передачи до 54 Мбит/с, что примерно в 10 раз быстрее 802.11b. Недостатки – большая потребляемая мощность оборудования и меньший радиус действия (для 2,4 ГГц – до 300 метров, для 5 ГГц – до 100 метров).

802.11b. Широко распространённый стандарт был принят в 1999 году, пропускная способность (11 Мбит/с) отвечает требованиям большинства приложений, ориентирован на диапазон 2,4 ГГц. Так же стандартом предусмотрено автоматическое понижение скорости при ухудшении качества сигнала.

802.11g. Развитие стандарта 802.11b. Максимальная скорость передачи достигает 54 Мбит/с в частотном диапазоне 2,4 ГГц.

802.11n Стандарт 802.11n повышает скорость передачи данных практически вчетверо по сравнению с устройствами стандартов 802.11g (максимальная скорость которых равна 54 Мбит/с), при условии использования в режиме 802.11n с другими устройствами 802.11n. Теоретически 802.11n способен обеспечить скорость передачи данных до 600 Мбит, применяя передачу данных сразу по четырём антеннам. По одной антенне — до 150 Мбит/с.

Кроме того, устройства 802.11n могут работать в трёх режимах:

1. Наследуемый — обеспечивается поддержка устройств 802.11b/g и 802.11a;

2. Смешанный — поддерживаются устройства 802.11b/g, 802.11a и 802.11n;

3. Чистый — 802.11n (именно в этом режиме и можно воспользоваться преимуществами повышенной скорости и увеличенной дальностью передачи данных, обеспечиваемыми стандартом 802.11n).

Ключевой компонент стандарта 802.11n под названием MIMO (Multiple Input, Multiple Output — много входов, много выходов) предусматривает применение пространственного мультиплексирования с целью одновременной передачи нескольких информационных потоков по одному каналу, а также многолучевое отражение, которое обеспечивает доставку каждого бита информации соответствующему получателю с небольшой вероятностью влияния помех и потерь данных. Именно возможность одновременной передачи и приема данных определяет высокую пропускную способность устройств 802.11n.

В России этот стандарт официально сертифицирован. Оборудование стандарта 802.11n разрешено к применению на территории России в диапазонах 2400—2483.5, 5150—5350 и 5650—5725 МГц приказом Министерства связи и массовых коммуникаций России от 14 сентября 2010 г. № 124 «Об утверждении Правил применения оборудования радиодоступа. Часть I. Правила применения оборудования радиодоступа для беспроводной передачи данных в диапазоне от 30 МГц до 66 ГГц».

Поскольку для организации сети малого офиса со стороны кафедры РЗИ был выделен маршрутизатор Zyxel Keenetic-Ultra, который способен работать в смешанном режиме (поддержка устройств 802.11b/g, 802.11a и 802.11n), при построении ЛВС нашей организации использовался режим работы роутера 802.11b\g\n.

Выбор данного режима работы обоснован тем, что при организации ЛВС стоит учесть тот факт, что сотрудники организации могут пользоваться клиентскими устройствами поддерживающим только один из перечисленных стандартов 802.11. Хотя большинство современных мобильных устройств (смартфонов, планшетных компьютеров) поддерживают стандарт 802.11n так же стоит учесть еще один фактор, влияющий на выбор режима работы 802.11b\g\n – использование беспроводных периферийных устройств (беспроводные сканеры и принтеры, которые при необходимости можно интегрировать в проектируемую сеть), которые не всегда поддерживают стандарты Wi-Fi последних лет.

На рисунке 2.2 представлена предварительная схема проектируемой беспроводной ЛВС:

Рисунок 2.2 – Проектируемая беспроводная ЛВС малого офиса

Требования к безопасности сети, обоснование выбора протоколов и технологии построения безопасной сети

На сегодняшний день существуют различные методы организации защищенного соединения пользователей в компьютерных сетях, такие как: парольная защита, идентификация и аутентификация пользователей, шифрование, использование межсетевых экранов, применение технологии виртуальных частных сетей на основе шифрования (Virtual Private Network), и так далее.

Выбор технологии и протоколов построения безопасной сети передачи данных необходимо осуществлять в соответствии с требованиями к защищаемой информации [1]. Основными требованиями к защищаемой информации являются: конфиденциальность, целостность и доступность.

Ниже рассмотрены основные технологии обеспечения безопасности в компьютерных сетях при организации удаленного доступа.

2.3.1 Парольная защита. Парольная защита основывается на том, что для того, чтобы использовать какой-либо ресурс, необходимо задать пароль (некоторая комбинация символов). С помощью паролей защищаются файлы, архивы, программы и отдельные компьютеры. У парольной защиты есть недостатки – это слабая защищенность коротких паролей, которые с помощью специальных программ можно быстро раскрыть простым перебором. При выборе пароля нужно соблюдать ряд требований: пароль не должен состоять менее, чем из восьми символов; не использовать один и тот же пароль для доступа к разным ресурсам; не использовать старый пароль повторно; менять пароль как можно чаще. В сетях пароли могут использоваться самостоятельно, а также в качестве основы для различных методов аутентификации.

2.3.2 Идентификация и аутентификация. Идентификацию и аутентификацию пользователей можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов.

Идентификация представляет собой процедуру распознавания пользователя (процесса) по его имени.

Аутентификация – это процедура проверки подлинности пользователя, аппаратуры или программы для получения доступа к определенной информации или ресурсу.

В качестве синонима слова «аутентификация» иногда используют сочетание «проверка подлинности». Субъект может подтвердить свою подлинность, если предъявит, по крайней мере, одну из следующих сущностей:

1. Нечто, что он знает: пароль, личный идентификационный номер, криптографический ключ и т.п.,

2. Нечто, чем он владеет: личную карточку или иное устройство аналогичного назначения,

3. Нечто, что является частью его самого: голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики,

4. Нечто, ассоциированное с ним, например координаты.

На сегодняшний день в компьютерных сетях для аутентификации пользователей широко используются протоколы семейства ААА (Authentication (аутентификация) — сопоставление персоны (запроса) существующей учётной записи в системе безопасности. Осуществляется по логину, паролю, сертификату, смарт-карте и т. д.; Authorization (авторизация, проверка полномочий, проверка уровня доступа) — сопоставление учётной записи в системе (и персоны, прошедшей аутентификацию) и определённых полномочий (или запрета на доступ). В общем случае авторизация может быть «негативной» (пользователю А запрещён доступ к серверам компании); Accounting (учёт) — слежение за потреблением ресурсов (преимущественно сетевых) пользователем.).

2.3.2.1 Протокол PAP. Password Authentication Protocol — протокол простой проверки подлинности, предусматривающий отправку имени пользователя и пароля на сервер удалённого доступа открытым текстом (без шифрования). Протокол PAP крайне ненадёжен, поскольку пересылаемые пароли можно легко читать в пакетах PPP (Point-to-Point Protocol), которыми обмениваются стороны в ходе проверки подлинности. Обычно PAP используется только при подключении к старым серверам удалённого доступа на базе UNIX, которые не поддерживают никакие другие протоколы проверки подлинности.

2.3.2.2 Протокол CHAP. Challenge Handshake Authentication Protocol широко распространённый алгоритм проверки подлинности, предусматривающий передачу не самого пароля пользователя, а косвенных сведений о нём. При использовании CHAP сервер удалённого доступа отправляет клиенту строку запроса. На основе этой строки и пароля пользователя клиент вычисляет хэш-код MD5 и передаёт его серверу. Хеш-функция является алгоритмом одностороннего (необратимого) шифрования (преобразования), поскольку значение хеш-функции для блока данных вычислить легко, а определить исходный блок по хэш-коду с математической точки зрения невозможно за приемлемое время. Сервер, которому доступен пароль пользователя, выполняет те же самые вычисления и сравнивает результат с хэш-кодом, полученным от клиента. В случае совпадения учётные данные клиента удалённого доступа считаются подлинными. Наиболее важной особенностью алгоритма CHAP является то, что пароль никогда не пересылается по каналу, что значительно увеличивает безопасность процесса аутентификации по сравнению с использованием протокола PAP.

2.3.2.3 Протокол MS-CHAP [2].Microsoft Challenge Handshake Authentication Protocol) — протокол, разработанный корпорациейMicrosoft для выполнения процедур проверки подлинности удалённых рабочих станций Windows. Протокол поддерживает функциональные возможности, привычные пользователям локальных сетей, и интегрирует алгоритмы шифрования и хеширования, действующие в сетях Windows. Для проведения проверки подлинности без передачи пароля протокол MS-CHAP, как и CHAP, использует механизм «вызов-ответ».

Протокол MS-CHAP генерирует запрос и ответ с помощью алгоритма хеширования MD4 (англ. Message Digest 4) и алгоритма шифрования DES (англ. Data Encryption Standard); предусмотрены также механизмы возврата сообщений об ошибках подключения и возможности изменения пароля пользователя. Ответный пакет использует специальный формат, предназначенный для использования сетевыми средствами систем Windows 95, Windows 98, Windows Millennium Edition, Windows NT, Windows 2000 и Windows XP.

2.3.2.4 Аутентификация на основе сертификатов [2]. Аутентификация с применением цифровых сертификатов является альтернативой применения паролей и представляется естественным решением в условия, когда число пользователей сети (пусть и потенциальных) измеряется миллионами. В таких обстоятельствах процедура предварительной регистрации пользователей, связанная с назначением их паролей, становится крайне обременительной, опасной, а иногда и просто нереализуемой, При наличии сертификатов сеть, которая дает пользователю доступ к своим ресурсам, не хранит никакой информации о своих пользователях – они ее предоставляют сами в своих запросах в виде сертификатов, удостоверяющих личность пользователей. Сертификаты выдаются специальными уполномоченными организациями – центрами сертификации (Certificate Authority, CA). Поэтому задача хранения секретной информации (закрытых ключей) возлагается на самих пользователей, что делает это решение гораздо более масштабируемым, чем вариант с централизованной базой паролей.

Сертификат представляет собой электронную форму, в которой содержится следующая информация:

1. Открытый ключ владельца данного сертификата;

2. Сведения о владельце сертификата, такие, например, как имя, адрес электронной почты, наименовании организации, в которой он работает, и так далее;

3. Наименование сертифицирующей организации, выдавшей данный сертификат:

4. Электронная подпись сертифицирующей организации, то есть зашифрованные закрытым ключом этой организации данные, содержащиеся в сертификате.

Принцип работы алгоритма аутентификации на основе сертификатов приведен на рисунке 2.3 [2]:

Рисунок 2.3 – Аутентификация на основе сертификатов

2.3.3 Шифрование. Криптографические методы защиты основываются на шифровании информации и программ. Готовое к передаче сообщение - будь то данные, речь либо графическое изображение того или иного документа, обычно называется открытым, или незащищенным текстом. Такое сообщение в процессе передачи по незащищенным каналам связи может быть легко перехвачено. Для предотвращения несанкционированного доступа к сообщению оно зашифровывается, преобразуясь в закрытый текст. Санкционированный пользователь, получив сообщение, дешифрует его обратным преобразованием криптограммы. В результате чего получается исходный открытый текст.

Шифрование может быть симметричным (например алгоритм DES) и асимметричным (например алгоритм RSA). Симметричное шифрование использует один и тот же секретный ключ для шифровки и дешифровки. Основным недостатком симметричного шифрования является то, что секретный ключ должен быть известен и отправителю, и получателю. С одной стороны, это ставит новую проблему рассылки ключей. С другой стороны, получатель, имеющий шифрованное и расшифрованное сообщение, не может доказать, что он получил его от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать и сам.

При ассиметричном шифровании для шифрования используется один общедоступный ключ, а для дешифрования - другой, являющийся секретным, при этом знание общедоступного ключа не позволяет определить секретный ключ.

Асимметричные методы шифрования позволяют реализовать так называемую электронную подпись. Идея состоит в том, что отправитель посылает два экземпляра сообщения - открытое и дешифрованное его секретным ключом. Получатель может зашифровать с помощью открытого ключа отправителя дешифрованный экземпляр и сравнить с открытым ключом. Если они совпадут, личность и подпись отправителя можно считать установленными.

Существенным недостатком асимметричных методов является их низкое быстродействие, поэтому их приходится сочетать с симметричными. Так, для решения задачи рассылки ключей сообщение сначала симметрично шифруют случайным ключом, затем этот ключ шифруют открытым асимметричным ключом получателя, после чего сообщение и ключ отправляются по сети.

При использовании асимметричных методов необходимо иметь гарантию подлинности пары (имя, открытый ключ) адресата. Для решения этой задачи вводится понятие сертификационного центра, который заверяет справочник имен/ключей своей подписью.

Услуги, характерные для асимметричного шифрования, можно реализовать и с помощью симметричных методов, если имеется надежная третья сторона, знающая секретные ключи своих клиентов. Эта идея положена, например, в основу сервера аутентификации Kerberos.

В последнее время получила распространение разновидность симметричного шифрования, основанная на использовании составных ключей. Идея состоит в том, что секретный ключ делится на две части, хранящиеся отдельно. Каждая часть сама по себе не позволяет выполнить расшифровку. Если у правоохранительных органов появляются подозрения относительно лица, использующего некоторый ключ, они могут получить половинки ключа и дальше действовать обычным для симметричной расшифровки образом.

Шифрование программ гарантирует невозможность внесения в них изменений. Криптографическая защита данных осуществляется и при хранении данных и при передаче их по сети. В настоящее время возможна как программная, так и аппаратная реализация средств криптографии.

В настоящее время существует большое количество алгоритмов шифрования, алгоритмы DES и RSA подробно рассмотрены в [2], алгоритм Диффи-Хелмана в [4].

2.3.4 Разграничение прав доступа. Разграничение прав доступа пользователей к ресурсам сети. Этот метод основан на использовании наборов таблиц, которые определяют права пользователей. Они построены по правилам «разрешено все, кроме» или «разрешено только». Таблицы по паролю или идентификатору пользователя определяют его права доступа к дискам, файлам, операциям чтения, записи, копирования, удаления и другим сетевым ресурсам. Такое разграничение доступа определяется, как правило, возможностями используемой ОС.

2.3.5 Межсетевые экраны. При подключении корпоративной сети к открытым сетям, например к сети Internet, появляются угрозы несанкционированного вторжения в закрытую (внутреннюю) сеть из открытой (внешней), а также угрозы несанкционированного доступа из закрытой сети к ресурсам открытой. Подобный вид угроз характерен также для случая, когда объединяются отдельные сети, ориентированные на обработку конфиденциальной информации разного уровня секретности.

Нарушитель через открытую внешнюю сеть может вторгнуться в сеть организации и получить доступ к техническим ресурсам и конфиденциальной информации, получить пароли, адреса серверов, а иногда и их содержимое, войти в информационную систему организации под именем зарегистрированного пользователя и т.д.

Угрозы несанкционированного доступа из внутренней сети во внешнюю сеть являются актуальными в случае ограничения разрешенного доступа во внешнюю сеть правилами, установленными в организации.

Ряд задач по отражению угроз для внутренних сетей способны решить межсетевые экраны.

Межсетевой экран (МЭ) или брандмауэр (Firewall) - это средство защиты, которое можно использовать для управления доступом между надежной сетью и менее надежной. Межсетевой экран - это не одна компонента, а стратегия защиты ресурсов организации, доступных из глобальной сети.

Основная функция МЭ - централизация управления доступом. Если удаленные пользователи могут получить доступ к внутренним сетям в обход МЭ, его эффективность близка к нулю. МЭ обычно используются для защиты сегментов локальной сети организации.

Межсетевые экраны обеспечивают несколько типов защиты:

1. Блокирование нежелательного трафика;

2. Перенаправление входного трафика только к надежным внутренним системам;

3. Сокрытие уязвимых систем, которые нельзя обезопасить от атак из глобальной сети другим способом;

4. Протоколирование трафика в и из внутренней сети;

5. Сокрытие информации (имен систем, топологии сети, типов сетевых устройств и внутренних идентификаторов пользователей, от внешней сети;

6. Обеспечение более надежной аутентификации, чем та, которую представляют стандартные приложения.

Как и для любого средства защиты, нужны определенные компромиссы между удобством работы и безопасностью. Прозрачность - это видимость МЭ как внутренним пользователям, так и внешним, осуществляющим взаимодействие через МЭ, который прозрачен для пользователей, если он не мешает им получить доступ к сети. Обычно МЭ конфигурируются так, чтобы быть прозрачными для внутренних пользователей сети (посылающим пакеты наружу), и, с другой стороны, МЭ конфигурируется так, чтобы быть непрозрачным для внешних пользователей, пытающихся получить доступ к внутренней сети извне. Это обычно обеспечивает высокий уровень безопасности и не мешает внутренним пользователям.

Важным понятием экранирования является зона риска, определяемая как множество систем, которые становятся доступными злоумышленнику после преодоления экрана или какого-либо из его компонентов. Для повышения надежности защиты, экран реализуют как совокупность элементов, так что "взлом" одного из них еще не открывает доступ ко всей внутренней сети. Экранирование и с точки зрения сочетания с другими сервисами безопасности, и с точки зрения внутренней организации использует идею многоуровневой защиты, за счет чего внутренняя сеть оказывается в пределах зоны риска только в случае преодоления злоумышленником нескольких, по-разному организованных защитных рубежей. Экранирование может использоваться как сервис безопасности не только в сетевой, но и в любой другой среде, где происходит обмен сообщениями.

2.3.6 Технология виртуальных частных сетей VPN. Технология VPN на основе шифрования – совокупность защищенных каналов, созданных предприятием в открытой публичной сети для объединения своих филиалов [2]. Вышеупомянутая технология обладает рядом существенных достоинств при организации защищенного соединения, а именно:

1. Шифрование гарантирует конфиденциальность корпоративных данных при передаче их через открытую сеть;

2. Аутентификация отвечает за то, чтобы взаимодействующие системы (пользователи) были уверены в идентичности друг друга;

3. Туннелирование предоставляет возможность передавать зашифрованные пакеты через открытую сеть.

Сейчас наиболее широко применяются сети VPN на основе протоколов IPsec и SSL.

Стандарты IPsec обеспечивают высокую степень гибкости, то есть позволяют выбрать необходимый режим защиты (шифрование трафика или только обеспечение аутентичности и целостности данных), а так же позволяют использовать различные алгоритмы шифрования и аутентификации. Режим инкапсуляции IPsec позволяет изолировать адресные пространства получателя (клиента) и поставщика за счет применения двух IP-адресов - внутреннего и внешнего.

В таких сетях клиент самостоятельно создает туннели IPsec через IP-сеть поставщика услуг (сети типа CPVPN). Причем от поставщика требуется только предоставление стандартного сервиса по объединению сетей, следовательно предприятию доступны услуги сети поставщика и сети Интернет. Однако, конфигурирование данных сетей является сложной задачей, так как туннели IPsec двухточечные, то есть при полносвязной топологии их количество N(N-1), где N – число соединений. Необходимо еще учитывать непростую задачу поддержания инфраструктуры ключей. Протокол IPsec может применятся так же для создания виртуальных частных сетей, поддерживаемых провайдером (PPVPN) - туннели в них так же строятся на базе устройств клиента, но эти устройства удаленно конфигурируются и администрируются поставщиком услуг.

В последнее время возросла популярность VPN на основе протокола SSL. Этот протокол работает на уровне представления, непосредственно под уровнем приложений, так что приложения должны его вызвать, чтобы создать защищенный канал для своего трафика. Наиболее популярным приложением, использующим данный протокол, является веб-браузер. В этом случае защищенные каналы SSL задействуют протокол HTTP, в данном режиме работы его называют HTTPS. Браузер прибегает к данному режиму во всех случаях, когда необходимо обеспечить конфиденциальность передаваемой информации: при покупках в интернет-магазинах, при интернет-банкинге. Данный вид реализации существенно облегчает задачу конфигурирования и администрирования VPN сети.

В рамках поставленной задачи (организация защищенного соединения между двумя удаленными пользователями) необходимо и достаточно рассмотреть частный случай реализации VPN-cети, а именно технологию защищенного канала. На рисунке 2.4 представлены схемы реализации защищенного соединения двух пользователей ( а – схема с конечными узлами, взаимодействующими через открытую сеть; б – схема с оборудованием поставщика услуг публичной сети, расположенным на границе между публичной и частной сетями):

а)

б)

Рисунок 2.4 – Обобщенная схема защищенного канала связи между двумя удаленными пользователями

Защищенный канал передачи данных можно построить при помощи системных средств, реализованных на разных уровнях модели OSI. Иерархия технологий защищенного канала представлена на рисунке 2.5:

Рисунок 2.5 – Иерархия технологий защищенного канала

Защищенный канал, реализованный на самом высоком (прикладном) уровне, защищает только вполне определенную сетевую службу, например файловую, гипертекстовую или почтовую. Так, протокол S/MIME предназначен для обеспечения криптографической безопасности электронной почты. Использование данного протокола обеспечивает аутентификация, целостность сообщения и гарантия сохранения авторства, безопасность данных (посредством шифрования). При таком подходе для каждой службы необходимо разрабатывать собственную защищенную версию протокола, что является существенным недостатком.

PPTP позволяет компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например Интернет. Данный протокол может также использоваться для организации туннеля между двумя локальными сетями - использует дополнительное TCP-соединение для обслуживания туннеля.

Однако описываемый протокол был объектом множества анализов безопасности, в нём были обнаружены различные серьёзные уязвимости. Известные относятся к используемым протоколам аутентификации PPP, устройству протокола MPPE, и интеграции между аутентификациями MPPE и PPP для установки сессионного ключа.

Для достижения конфиденциальности и целостности данных при их транспортировке по незащищенным каналам наиболее типично применение IPSec. Хотя данный протокол наиболее популярное и, пожалуй, наилучшее решение для создания виртуальных частных сетей, имеются и некоторые ограничения. В случае его применения в транспортном режиме не исключается возможность атак со стороны, что вызвано некоторыми ограничениями протокола ISAKMP.

Взлом сессии IPSec вполне вероятен, если не используется заголовок аутентификации AH. При таком типе атаки данные злоумышленника могут быть вставлены в полезную передающуюся информацию, например, в случае Unix-систем достаточно вставить в поток команду rm -R, чтобы получатель в итоге недосчитался многих, а то и всех файлов на жестком диске.

Специалисты компании AT&T Research отмечают, что многие потенциально слабые места IPSec являются следствием определенных недостатков алгоритмов шифрования, использованных в конкретной реализации IPSec. Следовательно, с увеличением надежности этих алгоритмов IPSec может стать намного более защищенным.

В настоящее время IPSec - это часть IPv6, но не IPv4. Хотя, конечно же, имеются и реализации IPSec для протокола IP четвертой версии. В реализации для IPv6 некоторые слабые места IPSec, которые все же присутствуют в версии для IPv4, устранены. Так, например, поля фрагментации в заголовке пакета IPv4 потенциально могут быть изменены, поэтому при функционировании IPSec в транспортном режиме злоумышленник может перехватить пакет и изменить поле фрагментации, а затем вставить необходимые данные в передаваемый поток. В IPv6 же промежуточные маршрутизаторы не допускают изменения полей фрагментации.

Многие продукты, которые могут использовать IPSec, взаимодействуют с альтернативной технологией шифрования, именуемой "Уровень защищенных сокетов" (Secure Sockets Layer, SSL). Основное различие между IPSec и SSL в том, что IPSec работает на уровне сети, обеспечивая зашиту сетевого соединения от начала и до конца. SSL же действует на уровне приложений, обеспечивая защиту лишь выбранному приложению, например веб-браузеру или программе для работы с электронной почтой. Хотя как IPSec, так и SSL призваны обеспечить конфиденциальность обмена информацией, что достигается совершенно различными способами. SSL был разработан компанией Netscape для защиты трафика HTTP, проходящего через программу-браузер. SSL - протокол уровня отдельной сессии, и в этом отношении он, несомненно, проигрывает IPSec, который позволяет построить постоянный туннель, не зависящий от проходящего сквозь него сетевого трафика.

Протокол SSL основан на клиент-серверной модели и обычно используется для защиты на отрезке "хост-хост". В связи с тем, что IPSec взаимодействует на сетевом уровне, возможны такие варианты, как "подсеть-подсеть", "сеть-сеть" или "сеть-хост". Это наводит на мысль, что IPSec допускает маршрутизацию, а SSL - нет.

Хотя многие пользователи считают SSL и IPSec конкурирующими разработками, данное утверждение не совсем точно, поскольку IPSec и SSL призваны решать различные проблемы. Если для развертывания IPSec требуется предварительное планирование инфраструктуры, то с SSL все намного проще. Как правило, если и клиент, и сервер изначально способны работать с SSL, то процедура настройки защищенной сессии сводится к крайне тривиальному набору действий, доступному даже начинающему пользователю.

С учетом вышеизложенного при организации защищенного соединения между двумя удаленными пользователями напрашивается обоснованное решение об использовании технологии организации защищенного соединения на основе протокола SSL. Забегая вперед, следует отметить, что в процессе решения задачи по организации защищенного соединения между двумя удаленными пользователями была использована программа OpenVPN, так как она бесплатна и находится в свободном доступе (не требует покупки дополнительно сетевого оборудования, в отличие от использования стека протоколов IPsec, которое подразумевает наличие сетевого оборудования компании Cisco), к тому же используется в операционных системах Solaris, OpenBSD, FreeBSD, NetBSD, GNU/Linux, Apple Mac OS X, QNX, Microsoft Windows, Android.

В то же время данный программный продукт обеспечивает такие функции как аутентификацию шифрование передаваемых данных, а так же позволяет устанавливать соединения между компьютерами, находящимися за NAT и сетевым экраном, без необходимости изменения их настроек.

Не нашли, что искали? Воспользуйтесь поиском по сайту: