„Проектиране на корпоративна vpn мрежа
Изтегляне 2.17 Mb.
|
- Навигация на страницата:
- А Н тунелен режим
- ESP туне л ен режим
- 5.2 PPTP VPN протокол
| Тунелиране от Слой3
Тунели могат да бъдат създавани в мрежовия слой и по този начин да се осигуряват IP-базирани виртуални връзки. Тези връзки работят чрез изпращане на IP пакети, капсулирани във вътрешността на специфицирани от Internet Engineering Task Force (IETF) протоколни обвивки (protocol wrappers). Обвивките използват IPSecurity (IPSec), Internet Key Exchange (IKE) и методи за автентикация и криптиране, като Message Digest 5 (MD5), Data Encryption Standart (DES) и Secure Hash Algorithm(SHA). IPSec може да бъде използван заедно с L2TP; L2TP изгражда тунел, а IPSec криптира данните. В този случай IPSec работи в транспортен режим. IPSec може също да бъде използван в тунелен режим, при който той осигурява тунела. В режим на тунелиране IPSec може да бъде конфигуриран за защита на данни или между два IP адреса, или между две IP мрежи. IPSec може да използва един или и двата протокола: Authentication Header (AH) и Encapsulating Security Payload (ESP) АН тунелен режим - АН тунелният режим не осигурява криптиране на данните, които пътуват през тунела, но проверява дали данните не са променени. Също така той удостоверява изпращача. При АН не може да бъде направена никаква промяна на адреса на източника или местоназначението от момента, в които пакетът напусне началната точка на тунела. ESP тунелен режим - При ESP тунелен режим адресите на първоначалния източник и крайното местоназначение се съдържат в оригиналния (капсулиран) IP хедър. Външният хедър обикновено съдържа адресите на шлюзовете. ESP тунелът криптира данните с помощта на алгоритмите DES или 3DES. Когато се използва ESP, външният IP хедър не е защитен и неговият интегритет не е ограничен. За постигане на криптиране и автентикация, както и на интегритет на целия пакет, може да се използват заедно AH и ESP. 5.2 PPTP VPN протокол Point-to-Point Tunneling Protocol (PPTP) е протокол, разработен от Cisco и по- късно включен в операционната система Windows, поради което е получил своята популярност. Той представлява разширение на протокола Point-to-Point Protocol (PPP), което служи за oсъществяване на отдалечен достъп. PPP пакетите се енкапсулират във вътрешността на Generic Routing Encapsulation (GRE) хедър, дефиниран в RFC 1701 и 1702. Полученият пакет се трансформира в IP пакет, който осигурява необходимата маршрутизираща информация. PPP може да се използва за пренос на IP, IPX и NetBEUI пакети. Удостоверяването при PPTP връзките се осъществява по два начина: чрез базирания на парола протокол MSCHAP-v2 или чрез използване на EAP-TLS, базиран на цифрови сертификати. Протоколът на Microsoft MSCHAP-v2 установява PPP сесия посредством потрeбителско име и парола и е наследник на MSCHAP-v1 и Challenge Handshake Authentication Protocol (CHAP). Удостоверяването чрез MSCHAP може дабъде уязвимо поради използването на слаби пароли. Криптирането в PPTP се извършва чрез Microsoft Point-to-Point Encryption (MPPE). MPPE служи за криптиране на PPP пакети и използва RSA RC4 алгоритъм, като дължината на ключа може да бъде 40, 56 и 128-битова. PPTP е много популярен, защото лесно се конфигурира и е поддържан от всички версии на Microsoft Windows след Windows 95. Освен това съществуват клиенти за почти всички операционни системи – Линукс, MacOS и различни PDA мобилни устройства. РРТР VPN осигурява защита на данните чрез криптиране и осигурява значителна сигурност на връзката при използване на сложни пароли или чрез метода EAP-TLS, който предлага възможност за използване и на смарт карти. Протоколът позволява свързване на клиенти зад NAT (Network Address Translation). Недостатъците на VPN връзката, базирана на РРТР, се състоят в това, че тя не осигурява целостта на данните и не предлага удостоверяване на всеки пакет, а само първоначално удостоверяване на ниво потребител, което прави протокола уязвим на множество атаки, например “replay” атаки. Изтегляне 2.17 Mb. Сподели с приятели:
|