Crearea de rețele virtuale sigure
Rețele virtuale protejate
Dezavantaje ale gateway-urilor de aplicație
· Performanță mai mică comparativ cu routerele de filtrare; în special, atunci când se utilizează protocoale client-server, cum ar fi TELNET. Este necesară o procedură în două etape pentru conexiunile de intrare și ieșire; · Costuri mai mari comparativ cu routerul de filtrare. Pe lângă TELNET și FTP, gateway-urile la nivel de aplicație sunt utilizate în mod obișnuit pentru e-mail, X Windows și alte servicii.
VPN (Virtual Private Network Eng. - Virtual Private Network) - tehnologiile de nume generalizate pentru a furniza unul sau mai multe conexiuni de rețea (rețele logice) pe partea de sus a unei alte rețele (de exemplu Internet). În ciuda faptului că comunicările sunt efectuate prin rețele cu un nivel necunoscut mai mic de încredere (de exemplu, rețelele publice), nivelul de încredere în rețeaua logică creată nu depinde de nivelul de încredere în rețelele de bază prin utilizarea criptografiei (criptare, autentificare, infrastructura de chei publice, facilități pentru a proteja împotriva repetițiilor și a modificărilor transmise prin mesajele de rețea logice).
Interacțiunea de securitate a informațiilor între rețelele locale și computerele individuale prin rețele deschise, de exemplu, prin Internet, necesită o soluție calitativă a două sarcini de bază (Figura 3.1):
# 9679; protecția rețelelor locale conectate la canalele de comunicații publice și computerele individuale împotriva acțiunilor neautorizate din mediul extern;
# 9679; protecția informațiilor în procesul de transmitere prin intermediul canalelor deschise.
prima problemă este rezolvată prin utilizarea firewall (firewall), care susțin interacțiunea informațiilor de securitate discutate mai sus, prin filtrare în flux bilateral de mesaje și efectua funcții de compensare atunci când fac schimb de informații. Pentru a proteja rețelele locale, firewall-ul se află la intersecția dintre rețeaua locală și cea deschisă. Pentru a proteja un calculator separat la distanță conectat la o rețea deschisă, software-ul de firewall este instalat pe același computer, iar firewall-ul însuși este în acest caz numit personal.
Protecția informațiilor în procesul de transmitere prin intermediul canalelor de comunicare deschise se bazează pe următoarele funcții:
# 9679; autentificarea părților interacționate;
# 9679; închiderea criptografică a datelor transmise;
# 9679; confirmarea autenticității și integrității informațiilor furnizate;
# 9679; protecție împotriva repetării, întârzierii și ștergerii mesajelor;
# 9679; protecție împotriva negării faptelor de trimitere și primire a mesajelor.
Funcțiile enumerate sunt în mare parte legate între ele, iar implementarea acestora se bazează pe protecția criptografică a datelor transmise. Eficiența ridicată a unei astfel de protecții este asigurată prin utilizarea în comun a sistemelor criptografice simetrice și asimetrice.
LAN-uri și computere individuale printr-un transfer de informații în afara mediului deschis într-o singură rețea care furnizează date de securitate virtuală circularea numită rețea virtuală securizată (Virtual Private Network - VPN). O rețea virtuală este formată pe baza canalelor de comunicare în rețea deschise. Termenul "virtual" insistă că canalele de comunicare ale unei rețele virtuale sunt modelate folosind canalele de comunicare reale. Rețeaua deschisă poate servi ca bază pentru coexistența simultană a unei multitudini de rețele virtuale, al căror număr este determinată de lățimea de bandă de canale deschise.
Mediul extern deschis de transfer de informații poate fi împărțit în mediu
• garantează calitatea înaltă a schimbului de informații, deoarece canalele coloanei vertebrale și routerele de Internet au o capacitate mare și sunt caracterizate de fiabilitatea transferului de informații;
• pentru accesul de la distanță al utilizatorilor la rețeaua locală, nu este nevoie de bazine de modem, iar traficul de acces la distanță poate fi controlat în același mod ca orice alt trafic pe Internet;
• Cheltuielile pentru schimbul de informații printr-un mediu extern deschis sunt reduse:
• cu acces la distanță, în loc să instalați scump
O rețea virtuală care utilizează rețeaua globală de Internet ca mediu extern pentru transferul de informații este numită adesea o rețea Extranet.
Eficiența utilizării rețelelor virtuale este în mare măsură determinată de gradul de securitate a informațiilor care circulă prin intermediul canalelor de comunicare deschise. Siguranța schimbului de informații trebuie să fie asigurată atât în cazul interconectării rețelelor locale, cât și în cazul accesului la rețelele locale de utilizatori la distanță (Figura 3.2). Protecția informațiilor în procesul de transmitere a acestora prin canale deschise se bazează pe construirea unor canale de comunicații virtuale sigure, numite tuneluri criptoprotectoare sau tuneluri VPN. Fiecare astfel de tunel este o conexiune realizată printr-o rețea deschisă, peste care sunt transmise pachetele de mesaje criptografice protejate ale rețelei virtuale.
Pentru a proteja împotriva repetării, ștergerii și întârzierilor cauzate de pachetele de mesaje transmise prin tunelul VPN, sunt utilizate capabilitățile încorporate ale stivei de protocoale TCP / IP. Pentru a proteja împotriva repetării, ștergerii și întârzierilor la nivelul mesajelor individuale, trebuie adăugate informații suplimentare la fiecare mesaj al subsistemului de protecție a stratului de aplicație. În calitatea acestor informații suplimentare, pot fi utilizate numere, numere aleatorii și timbre.
Pentru a proteja împotriva eșecului de a primi mesaje, subsistemul de protecție a stratului de aplicare ar trebui să furnizeze, la primirea fiecărui mesaj, transmiterea către expeditor a notificării de primire a mesajului. Această notificare trebuie semnată criptografic de destinatarul mesajului. Protecția de refuzul de a trimite un mesaj, adică de protecție împotriva nerecunoașterii unei semnături digitale, poate fi furnizată numai prin măsuri juridice și organizatorice pentru a da o semnătură digitală a forței juridice. Pentru a împiedica respingerea cheilor publice și, în consecință, refuzul unei semnături digitale, schimbul de chei publice trebuie să fie susținut printr-o procedură legală.
Articole similare
Trimiteți-le prietenilor: