Туннелирование в VPN

Как указывалось выше, основная задача, решаемая VPN, — скрыть пе- редаваемый трафик. При этом необходимо скрыть как передаваемые данные, так и адреса реальных отправителя и получателя пакетов. И кроме того, необ- ходимо обеспечить целостность и подлинность передаваемых данных. Для защиты передаваемых данных и реальных IP-адресов применяются крипто- графические алгоритмы. При отправке пакетов применяется туннелирование, т. е. в пакетах, которые идут в открытой сети, в качестве адресов фигурируют только адреса «черных ящиков». Кроме того, туннелирование предполагает, что внутри локальных сетей трафик передается в открытом виде, а его защита осуществляется только тогда, когда он попадает в «туннель».

Итак, пусть у нас имеется пакет, содержащий данные и IP-заголовок, ко-

торые подлежат защите (рис. 5.2). Для защиты применим криптографические методы и зашифруем и данные, и заголовок вместе. Так как необходимо обес-

печить скорость обработки информации, то для зашифрования, естественно,

будем использовать симметричный алгоритм.

Известно, что применение симметричных алгоритмов шифрования тре- бует решения задачи распространения симметричных ключей. Поэтому по- ступим следующим образом: прикрепим симметричный ключ прямо к зашиф- рованным с его использованием данным. Назовем симметричный ключ пакет- ным ключом (его еще называют сеансовым ключом). Этот пакетный ключ бу- дем генерировать случайным образом при отправлении каждого нового пакета (тогда он  действительно «пакетный» ключ). Либо будем его  генерировать также случайно при каждом сеансе обмена. Тогда данные всех пакетов, пере- даваемых в данном сеансе связи, будут шифроваться одним и тем же ключом, и это уже «сеансовый» ключ.

Конечно, нельзя отправлять пакетный ключ в открытом виде, прикреп- ляя его к зашифрованным им данным. Следует его зашифровать. Воспользу- емся тем, что ключ, в отличие от данных, — это лишь пара сотен бит (в зави- симости от реализации, например, 256 бит — длина ключа алгоритма ГОСТ

28147-89, 56 бит — длина ключа алгоритма DES). Таким образом, можем применить более медленные асимметричные алгоритмы и зашифровать с их помощью пакетный ключ. Вместе с тем, для шифрования пакетного ключа

может быть применен и симметричный алгоритм. Ключ алгоритма шифрова-

ния пакетного ключа назовем ключом связи.

IP-заголовок

Шифруются на пакетном ключе и подписываются ЭЦП

Данные

ЭЦП пакета

Пакетный ключ

IP-заголовок

Данные

Аутентифицирующий заголовок

Пакетный ключ шифруется на ключе связи, формируется новый IP-пакет (IP-адреса устройств защиты)

IP-заголовок

ЭЦП пакета

Пакетный ключ

IP-заголовок

Данные

Рис. 5.2. Преобразование отправляемого пакета

Кроме того, для обеспечения целостности пакетов сгенерируем элек- тронно-цифровую подпись (ЭЦП) нашего пакета и прикрепим ее к формируе- мому пакету.

Совокупность ЭЦП и зашифрованного пакетного ключа называют ау-

тентифицирующим заголовком.

Для того чтобы отправить сгенерированный нами пакет, необходимо добавить к нему IP-адреса источника и приемника. В случае туннеля этими адресами будут адреса пограничных VPN-узлов. Если же защищается трафик между двумя узлами без применения туннеля, то эти адреса совпадут с адре- сами в исходном пакете.

Таким образом, исходный пакет защищен. Осталось выяснить ряд мо-

ментов. Во-первых, каким образом будет осуществлен обмен ключом связи и, во-вторых, что будем понимать под шифруемыми данными: только лишь дан- ные прикладного уровня либо относящиеся к транспортному или сетевому уровню.

Чтобы ответить на второй вопрос, рассмотрим уровни защищенных ка-

налов.

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий