„Проектиране на корпоративна vpn мрежа
VPN протоколи, работещи в по-горен слой
Изтегляне 2.17 Mb.
|
| 5.6 VPN протоколи, работещи в по-горен слой
Съществуват протоколи, които работят над мрежовия слой 3 от OSI модела. Пример за това са решения, базирани на SSL, SSH и TLS, опериращи в слой 4-7 от OSI. Продуктът OpenVPN е представител на горните протоколи. OpenVPN е VPN, базирана на индустриалния стандарт Secure Socket Layer/Transport Socket Layer (SSL/ TSL) протокол, който се използва при уеб-браузърите. Той реализира множество конфигурации: отдалечен достъп, виртуални частни мрежи от типа “от сайт до сайт” (site-to-site), както и корпоративни решения за отдалечен достъп, включващи балансиране на натоварването, възстановяване след откази (failover) и прецизиране на контрола на достъпа спрямо даден потребител или група. За целта изполва правила, характерни за защитните стени (firewall), които се прилагат към виртуалния интерфейс на VPN-а. Мрежовият интерфейс се реализира по проекта Universal/ Tap Device Driver. Устройствата Tun представляват виртуални мрежови устройства, емулиращи двойни връзки, докато устройствата Tap емулират Ethernet устройствата. Всеки изпращан през тях пакет се предава на програмата OpenVPN. Тя от своя страна използва програмите и библиотеките в проекта SSL за гарантиране на сигурността на пренасяните данни. Информацията се кодира и така виртуалната мрежа получава “частен” статут. За критичната фаза на обмен на ключове OpenVPN използва RSA/DHE. OpenVPN осигурява разширяване на мрежовата сигурност на OSI слой 2 или 3 и поддържа гъвкави методи за удостоверяване на клиенти чрез сертификати, смарт карти и др. Той позволява специфична за потребителя или групата политика за контрол на достъпа, използвайки правила на защитна стена, приложени към виртуалния интерфейс на VPN. OpenVPN поддържа три метода за удостоверяване на клиента: Най-ненадежден е методът “предварително споделен ключ” (pre-shared key), при който ключът е известен и на двата края още преди изграждането на тунела. Този метод е приложим само за проверки и обучения Вторият метод, който е най-сигурен, е чрез използване на X.509 сертификати. Третият метод представлява свързване на OpenVPN със стандартите за Линукс с включващи се модули за удостоверяване (Pluggable Authentification Module, PAM). Потребителят на клиента се удостоверява с помощта на комбинация от име и парола, които се проверяват на Линукс сървъра. OpenVPN притежава следните предимства: • използва изпитани криптографски алгоритми (SSL/ TLS), RSA сертификатии X509 PKI; • позволява лесно инсталиране и конфигуриране; • използва само един външен порт за много външни клиенти; • поддържа динамични IP адреси и NAT; • притежава висока съвместимост със защитните стени; • работи с различни операционни системи - Linux, Solaris, OpenBSD, FreeBSD, NetBSD, Mac OS X, and Windows 2000/XP; • поддържа компресиране на предаваните данни; • не изисква лицензни такси - разпространява се GNU License и др. Недостатъците му са свързани със слабата разпространеност и несъвместимостта с IPSec, IKE, PPTP или L2TP. Изтегляне 2.17 Mb. Сподели с приятели:
|