Виртуальная частная сеть (VPN)
Определение, цели и задачи виртуальной частной сети (VPN). Качество обслуживания и защита данных в VPN. Расположение VPN устройств в сети. Схема подключения локальной компьютерной сети к сети Internet с использованием криптографического маршрутизатора.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | контрольная работа |
Язык | русский |
Дата добавления | 15.07.2015 |
Размер файла | 3,6 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
1. Виртуальная частная сеть (VPN)
1.1 Определение, цели и задачи VPN
Под термином Ївиртуальная частная сеть (Virtual Private Network - VPN) понимают широкий круг технологий, обеспечивающих безопасную и качественную связь в пределах контролируемой группы пользователей по открытой глобальной сети.
Цель VPN-технологий состоит в максимальной степени обособления потоков данных одного предприятия от потоков данных всех других пользователей публичной сети. Обособленность должна быть обеспечена в отношении параметров пропускной способности потоков и в конфиденциальности передаваемых данных.
VPN можно применять для решения трех разных задач:
· для организации глобальной связи между филиалами одной компании (интрасеть),
· для соединения частной сети компании с ее деловыми партнерами и клиентами (экстрасеть),
· для взаимодействия с корпоративной сетью отдельных мобильных пользователей или работающих дома сотрудников (удаленный доступ).
В качестве среды для создания виртуальных частных сетей выступают сети пакетной коммутации: X.25, FR, ATM, IP (Internet). Наиболее популярны технологии VPN, рассчитанные на использование в среде Internet.
1.2 Качество обслуживания в VPN
Параметрами качества обслуживания в VPN являются характеристики транспортного обслуживания: задержка, вариация задержки и доля потерянных пакетов при транспортировке по сети. Эти параметры оговариваются в соглашении о качестве обслуживания, которое заключается между провайдером сети и клиентом. Для обеспечения качества обслуживания необходимы дополнительные технологические механизмы, встроенные в протоколы и оборудование сети.
Технология FR имеет встроенные возможности для поддержки дифференцированного качества обслуживания для разных виртуальных каналов. Гарантируемыми параметрами качества являются средняя согласованная пропускная способность и максимальная пульсация трафика. Если клиенту нужно передавать разные виды трафика с разным качеством обслуживания, то он просто заказывает несколько виртуальных каналов соответствующего качества.
Технология АТМ имеет более тонкие процедуры поддержания параметров качества обслуживания, чем технология FR. АТМ предоставляет трафику реального времени гарантии по задержкам передаваемых пакетов.
Internet пока не может дать пользователям гарантий дифференцированного обслуживания.
В частных IP-сетях провайдер имеет набор механизмов для дифференцированного обслуживания своих клиентов. К таким механизмам относятся приоритетное обслуживание (обслуживание очередей WFQ), резервирование полосы пропускания ( протокол резервирования ресурсов RSVP),поддержка виртуальных каналов ( протокол коммутации меток MPLS).
1.3 Защита данных в VPN
Для того чтобы виртуальные частные сети использовались как полноценный транспорт для передачи трафика, необходимы не только гарантии на качество передачи, но и гарантии в безопасности передаваемых данных. Многие специалисты, прежде всего, связывают термин Ївиртуальные частные сети? именно с безопасностью данных.
При подключении корпоративной сети к любой открытой сети возникает два вида угроз:
· несанкционированный доступ к внутренним ресурсам корпоративной сети, полученный злоумышленником в результате логического входа в эту сеть,
· несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети.
Для того чтобы виртуальная частная сеть по уровню безопасности приблизилась к истинной частной сети, в которой эти угрозы практически отсутствуют, VPN должна включать средства для отображения угроз как первого, так второго типов. К средствам VPN относится широкий круг устройств безопасности: многофункциональные брандмауэры, маршрутизаторы со встроенными возможностями фильтрации пакетов, proxy-серверы, аппаратные и программные шифраторы передаваемого трафика.
2. Организация VPN
2.1 VPN устройства
Виртуальные частные сети отличаются друг от друга многими характеристиками: набором функциональных возможностей VPN-устройств, точками размещения VPN-устройств, типом платформы, на которой работают эти устройства, применяемыми протоколами шифрования и аутентификации. Существует несколько типов VPN-устройств:
· отдельное аппаратное устройство VPN на основе специализированной ОС реального времени, имеющее два или более сетевых интерфейса и аппаратную криптографическую поддержку,
· отдельное программное решение, которое дополняет стандартную операционную систему функциями VPN,
· расширение брандмауэра за счет дополнительных функций защищенного канала,
· средства VPN, встроенные в маршрутизатор или коммутатор.
Устройства VPN могут играть в виртуальных частных сетях роль шлюза или клиента.
Шлюз VPN - это сетевое устройство, подключенное к нескольким сетям, которое выполняет функции шифрования и аутентификации для многочисленных хостов позади него. Размещение шлюза должно быть аналогично размещению брандмауэра, т.е. таким образом, чтобы через него проходил весь трафик, предназначенный для внутренней корпоративной сети. В зависимости от стратегии безопасности предприятия, исходящие пакеты либо шифруются, либо посылаются в открытом виде, либо блокируются шлюзом. Для входящих туннелируемых пакетов внешний адрес является адресом VPN-шлюза, а внутренний адрес - адресом некоторого хоста позади шлюза. Шлюз VPN может быть реализован всеми перечисленными выше способами, т.е. в виде отдельного аппаратного устройства, отдельного программного решения, а также в виде брандмауэра или маршрутизатора, дополненных функциями VPN.
Клиент VPN - это программный или аппаратно-программный комплекс, обычно на базе персонального компьютера. Его сетевое транспортное обеспечение модифицировано для выполнения шифрования и аутентификации трафика, которым устройство обменивается со шлюзами VPN и/или другими клиентами VPN. Обычно реализация VPN-клиента представляет собой программное решение.
Для создания виртуальной частной сети предприятия нужны как VPN-шлюзы, так и VPN-клиенты. Шлюзы целесообразно использовать для защиты локальных сетей предприятия, а VPN-клиенты - для удаленных и мобильных пользователей, которым требуется устанавливать соединения с корпоративной сетью через Интернет.
2.2 Расположение VPN устройств в сети
При создании защищенных каналов виртуальных частных сетей VPN-средства могут располагаться как в среде оборудования провайдера публичной сети, так и в среде оборудования предприятия. В зависимости от этого различают три варианта схемы образования защищенного канала:
· схема (пользовательская) -- все средства VPN размещаются в сети предприятия;
· схема (провайдерская) -- все средства VPN размещаются в сети провайдера;
· схема (смешанная) -- часть средств VPN размещены в сети провайдера, а часть -- в сети предприятия.
2.2.1 Пользовательская схема
Предприятие самостоятельно защищает данные, передаваемые по публичной сети, размещая VPN-шлюзы и VPN-клиенты в своей сети и на своей территории (рис. 2.1). Такую схему иногда называют пользовательской. Оборудование VPN физически находится в помещении предприятия.
Предприятие берет на себя полностью задачу обеспечения безопасности, а у провайдера только получает гарантированную (или негарантированную) пропускную способность. Локальные сети предприятия защищаются чаще всего с помощью VPN-шлюзов. В условиях, когда услуги провайдера по поддержанию VPN не используются, такое решение наиболее экономично, так как один шлюз защищает сразу все узлы корпоративной сети, расположенной позади него.
При образовании защищенных каналов между шлюзами различных локальных сетей одного и того же предприятия, технология VPN используется для реализации услуг интрасетей. В результате образуются защищенные интрасети. При прокладке каналов VPN между шлюзами разных предприятий формируется защищенная экстрасеть. Администратор локальной сети должен так настроить VPN-шлюз, чтобы он поддерживал установление защищенных каналов только с определенными шлюзами своего предприятия (в рамках интрасети), и тех предприятий, с которыми оно обменивается конфиденциальной информацией (в рамках экстрасети).
Рис.2.1. Организация VPNс помощью средств предприятия.
В целом схема, при которой все оборудование VPN размещается на территории предприятия, с точки зрения администратора предприятия обладает рядом как достоинств, так и недостатков.
Достоинства:
· прежде всего, это полный контроль администратора предприятия над ситуацией по защите корпоративной сети: выбор протоколов защищенного канала, настройка VPN на взаимодействие только с определенными абонентами или сетями, выбор стратегии смены паролей и т. п. Предприятие остается физическим владельцем устройств, которые содержат наиболее важную информацию о безопасности (такую, как пароли, ключи и т. д.);
· полный контроль над распределением пропускной способности защищенного канала для приложений. В том случае, когда провайдер предоставляет гарантии качества транспортного обслуживания, помещение пользователя является единственным местом для задания приоритетов исходящего трафика (поскольку у провайдера при получении зашифрованных пакетов не остается никаких признаков, на основании которых он мог бы осуществлять дифференцированное обслуживание). В этом случае VPN можно реализовать с использованием транспортных услуг многих провайдеров, не привязываясь к какому-нибудь определенному -- главное, чтобы они предоставляли гарантии по пропускной способности канала и задержкам пакетов;
· безопасность реализуется "из-конца-в-конец": от места расположения пользователя до места назначения. Данные защищаются еще до выхода из помещения пользователя. Это свойство не всегда принимается во внимание, так как телефонные каналы и выделенные линии, которые используются для доступа к сети провайдера услуг Internet, чаще всего считаются вполне защищенными и без шифрования данных. Однако при передаче очень важных конфиденциальных данных такая защита может оказаться необходимой.
Недостатки:
· высокая стоимость VPN-устройств, а также их обслуживания;
· низкая степень масштабируемости VPN из-за децентрализованности применяемой схемы. При расширении VPN необходимо приобретать, устанавливать и конфигурировать новый VPN-шлюз в каждом вновь подключаемом филиале, а в каждом новом удаленном компьютере -- клиентское программное обеспечение VPN. При использовании услуг провайдера все защищенные каналы проходят через несколько его шлюзов. Поэтому подключение нового филиала или удаленного пользователя требует гораздо меньших материальных и административных затрат, так как сводится в основном к внесению небольших изменений в конфигурационные настройки существующих шлюзов.
2.2.2 Провайдерская схема
В данном случае виртуальная частная сеть организуется исключительно с помощью средств провайдера, поэтому такая схема и называется провайдерской (рис. 2.2). Провайдер устанавливает в своей сети некоторое количество VPN-шлюзов, образующих защищенные каналы внутри публичной сети для тех своих клиентов, которые пожелали воспользоваться услугами VPN. Это хорошо масштабируемое и экономичное решение, управляемое централизованно администратором сети провайдера.
Для компьютеров корпоративной сети (как объединенных в локальные сети, так и автономных) защищенный канал прозрачен. Программное обеспечение этих конечных узлов остается без изменений, а также отпадает необходимость приобретения, конфигурирования и поддержки собственного VPN-шлюза. Реализация провайдерского варианта VPN по-прежнему требует участия администратора корпоративной сети, хотя и в гораздо меньшем объеме по сравнению с предыдущим вариантом. Как минимум, администратор должен предоставить провайдеру перечень адресов, входящих в состав интрасети и экстрасети предприятия, а возможно, и данные для аутентификации пользователей и оборудования корпоративной сети.
Гибкость этой схемы состоит в легкости подключения новых пользователей к существующим защищенным каналам, независимо от места их расположения. Особенно это полезно при подсоединении к экстрасети -- вместо индивидуального конфигурирования VPN-средств на каждом конце канала вносятся изменения только в VPN-шлюзы провайдера данного предприятия и провайдера предприятия-партнера. При этом необходимо, чтобы оба провайдера использовали совместимые средства VPN.
Рис. 2.2. Организация VPN средствами провайдера
Вариант, когда все заботы по поддержанию защищенного канала берет на себя провайдер публичной сети, оставляет тем не менее сомнения в надежности защиты: во-первых, незащищенными оказываются каналы доступа к публичной сети, во-вторых, потребитель услуг чувствует себя в полной зависимости от добросовестности провайдера. И тем не менее, специалисты прогнозируют, что именно вторая схема в ближайшем будущем станет основной в построении защищенных каналов.
Приведенная на рис. 2.2 схема требует уточнения, что Internet -- это не однородное облако, никому не принадлежащее, а совокупность сетей, находящихся под административным контролем большого количества предприятий и организаций. Если услуги VPN предоставляет провайдер, владеющий некоторой магистральной частью Internet, то схема расположения VPN-оборудования может быть уточнена. На рис. 2.3 показаны IP-сети провайдера А, которые являются неотъемлемыми частями Internet и в то же время полностью контролируются данным провайдером.
Рис. 2.3. Структура VPN провайдера с собственной магистралью
В пределах своей сети провайдер обычно гарантирует безопасность передаваемых данных своим клиентам без использования средств VPN, и только в точках соединения своих сетей с публичной частью Internet устанавливает VPN-шлюзы. Поэтому, когда трафик клиентов интрасети и экстрасети проходит только через магистраль одного провайдера, то он обслуживается, как правило, без создания защищенных каналов VPN. И только в том случае, когда необходимо либо соединить сети одного провайдера через публичный Internet, либо создать экстрасеть для предприятий, подключенных к разным провайдерам, используется технология VPN.
Можно отметить следующие достоинства и недостатки провайдерской схемы построения VPN.
Достоинства для пользователя:
· не нужно покупать и обслуживать дорогое и сложное VPN-оборудование.
Недостатки для пользователя:
· пользователь должен доверить провайдеру секретную информацию (пароли, ключи).
Участок пути между помещением пользователя и оборудованием провайдера, включающий канал доступа к глобальной сети и промежуточные каналы между провайдером доступа и VPN-провайдером, не защищен.
Достоинства для провайдера:
· провайдеру легче обеспечить высокую готовность VPN, используя оборудование провайдерского класса;
· провайдеру легче диагностировать и устранять проблемы, не командируя сотрудников на предприятия заказчика;
· провайдер может тесно интегрировать VPN-услуги с его возможностями по поддержанию дифференцированного качества обслуживания для приложений пользователя;
· закрепление за собой клиентов из-за недостаточного уровня стандартизации услуг VPN в настоящее время.
Учитывая, что каждая из рассмотренных схем имеет свои достоинства и недостатки, можно ожидать, что в ближайшем будущем станут применяться обе.
2.2.3 Смешанная схема
Виртуальная частная сеть может быть организована и на основе смешанного варианта -- VPN-устройства размещаются как в сети провайдера, так и в корпоративной сети. Это происходит в тех случаях, когда предприятие для создания VPN пользуется услугами одного провайдера, но имеет некоторое количество сетей и удаленных пользователей, подключенных к Internet через сети других провайдеров. В таком случае приходится устанавливать в сетях и компьютерах удаленных пользователей предприятия, обращающихся к услугам других провайдеров, собственные средства VPN (рис. 2.4).
Рис. 2.4. Организация VPN с использованием средств провайдера и предприятия
виртуальный частный сеть маршрутизатор
Этот вариант, как компромиссный, обладает достоинствами и недостатками предыдущих вариантов.
3. Решения для построения VPN
3.1 Решения отечественных компаний
3.1.1 Аппаратно-программный комплекс КРИПТОН-IP КОМПАНИИ «АНКАД» для VPN
Типичная схема подключения локальной компьютерной сети к глобальной сети Internet с использованием криптографического маршрутизатора (КМ) КРИПТОН-IP показана на рис. 3.1.
Рис.3.1 Решение компании «АНКАД» для VPN
КМ производит шифрование информации, вычисление имитоприставок по алгоритму ГОСТ 28147-89 и выполняет функции статического фильтра пакетов данных и обеспечивает контроль прохождения всего IP-трафика.
Наиболее эффективно использовать КМ в качестве шифратора на проходе, установленного в разрыве между ЛВС и маршрутизатором доступа, функции которого может выполнять и сам КМ при наличии статической IP-адресации в сети.
Все криптомаршрутизаторы ВЧС авторизуются: каждый имеет уникальный ключ, известный другим КМ. Поскольку КМ обрабатывает и пропускает в локальную сеть только пакеты, приходящие от авторизованных КМ, то локальные сети оказываются защищенными от вторжения извне.
Таблица 3.1. Основные характеристики КМ КРИПТОН-IP
Название продукта (тип) |
Интерфейсы |
Производительность |
Криптопротоколы |
Алгоритмы шифрования/Алгоритмы аутентификации |
|
КМ |
Адаптеры LAN Ethernet, нуль-модемный кабель, PPP-устройства (модемы) |
1,2-1,8 Мбит/с (Intel 486) |
Собственный, IP, Ipsec |
ГОСТ 28147-89, MD5 |
3.1.2 Решение ViPNet Custom российской компании «Инфотекс»
Решение ViPNet Custom предназначено для объединения в единую защищенную виртуальную сеть произвольного числа рабочих станций, мобильных пользователей и локальных сетей.
Рис. 3.2 Решение ViPNet Custom компании «Инфотекс»
Решение ViPNet CUSTOM может содержать следующие программные компоненты, которые могут быть выбраны заказчиком системы по его желанию.
ViPNet [Администратор] - отвечает за развертывание и администрирование защищенной сети, включая функции Удостоверяющего Центра. Создает инфраструктуру сети, осуществляет мониторинг и управление объектами сети. Он так же формирует первичную ключевую и парольную информацию для объектов сети, сертифицирует ключевую информацию, сформированную объектами сети.
Включает в себя программы: Центр Управления Сетью и Ключевой Центр.
Создание объектов сети ViPNet, связей между ними, формирование симметричной ключевой информации, формирование первичных ключевых дистрибутивов, дистанционное обновление и смену ключевой информации, централизованное формирование электронной цифровой подписи (ЭЦП) и выдачу цифровых сертификатов на открытые ключи ЭЦП, сформированные на местах, осуществляет ПО ViPNet[Администратор] в составе ПО [Центр управления сетью] (ЦУС) и ПО [Ключевой и удостоверяющий центр] (КЦ). Центры управления различных виртуальных сетей могут взаимодействовать между собой для организации защищенного межсетевого взаимодействия между узлами своих сетей.
ViPNet [Координатор] - реализует все серверные функции в рамках защищенной сети: криптомаршрутизатор, криптошлюз, межсетевой экран, сервер защищенной почты и многое другое. Выполняет маршрутизацию защищенных пакетов при взаимодействии объектов сети между собой, регистрацию и предоставление информации о состоянии объектов сети, работу защищенных компьютеров локальной сети в VPN от имени одного адреса, туннелирование пакетов от заданных незащищенных компьютеров локальной сети, фильтрацию открытых пакетов 12в соответствии с заданной политикой безопасности, осуществляет возможность работы защищенных компьютеров локальной сети через сетевые экраны других производителей.
ViPNet [Клиент] - модуль, реализующий все клиентские функции в рамках защищенной сети: клиентское шифрование, персональный сетевой экран, контроль сетевой активности приложений, встроенная система обнаружения атак (IDS), развитая система аудита, клиент защищенной почтовой службы и многое другое. Обеспечивает защиту информации при ее передаче по открытым каналам сетей общего пользования, а так же защиту от доступа к ресурсам компьютера из сетей общего пользования.
ViPNet [ЦентрРегистрации] - выполняет роль "филиала" Удостоверяющего Центра - ViPNet [Администратора], который можно установить в удаленной локальной сети и обеспечить процедуру выдачи и сертификации ЭЦП внешних пользователей - физических и юридических лиц.
Программа Центр Регистрации предназначена для регистрации внешних пользователей и получения для них в УКЦ цифровых сертификатов. Право работать в данной программе определяется программой Центра управления путем регистрации узла в задаче ЦР и формирования соответствующего справочника доступа. В системе может присутствовать произвольное количество ЦР.
В Центре Регистрации при предъявлении документов внешним пользователем, подтверждающих его полномочия, создается запрос на сертификат, производится отправка его в УКЦ и осуществляется ввод в действие изданного в УКЦ сертификата. В Центре Сертификации сертификат будет либо удовлетворен, либо отклонен. Только запрос на сертификат со статусом "удовлетворен" становится сертификатом подписи, и этот сертификат может быть введен в действие. После введения в действие сертификата, внешний пользователь сможет пользоваться им (подписывать документы) на любом узле с установленным ПО ViPNet.
Таблица 3.2. Основные характеристики ViPNet Custom
Название продукта (тип) |
Интерфейсы |
Производительность |
Криптопротоколы |
Алгоритмы шифрования/Алгоритмы аутентификации |
|
VipNet Клиент |
COM-интерфейс, Управление конфигурацией сети, есть встроенное IDS, драйвер Программа ЇКонтроль приложений |
Канал 100Мбит, пропусканная способность составляет 60-70 Мбит/с |
Собственный |
ГОСТ 28147-89(зависит от настроек), DES, 3DES,RC6, AES/- |
|
ПО VipNetКоординатор |
СОМ-порт, драйвер Программа ЇКонтроль приложений |
Канал 10МбитPentium III/ 450 -9.5Мбит/cКанал 100МбитPentium III/ 450 -20Мбит/cPentium III/700 -28Мбит/c |
Собственный, стек протоколов TCP/IP(туннелирование), IP/241 |
ГОСТ 28147-89(зависит от настроек), DES, 3DES, AES/- |
|
ЦУ сетью ПО VipNet Администратор |
API-интерфейс, внутренний мониторинг и управление объектами сети |
С применением аппаратного крипто-акселератора ViPNet Turbo 100 60-70 Мбит/с |
Собственный, IKE |
ГОСТ 28147-89(зависит от настроек), DES, 3DES, AES, |
|
ПО ViPNet [Центр регистрации] |
СОМ-интерфейс |
не ниже 28Мбит/c(не ниже Pentium III), ОЗУ -не менее 128 Мбайт |
Собственный |
ГОСТ 28147-89(зависит от настроек), DES, 3DES,RC6/-13 |
3.1.3 Решения «Микротест» на базе сертифицированных VPN-продуктов компании «Инфотекс»
В связи с тем, что программный комплекс «ViPNet» обеспечивает не только защиту трафика, передаваемого между компьютерами, но также защищает сами компьютеры от сетевых атак за счет интегрированных персональных межсетевых экранов, компания «Микротест» использует данный продукт для создания клиентскихVPN.
СОСТАВ КОМПЛЕКСА:
· ViPNet [Администратор]: Центр Управления Сетью, Ключевой Центр,
· ViPNet [Координатор],
· ViPNet [Клиент].
Рис. 3.3. Решение «МИКРОТЕСТ» на базе продуктов компании «Инфотекс»
ViPNet [Администратор] включает в себя программы: Центр Управления Сетью и Ключевой Центр.
Центр Управления Сетью является регистрационным центром и предназначен для конфигурации и управления виртуальной сетью.Ключевой Центр предназначен для обеспечения ключевой информацией всех участников VPN и выполнения функций удостоверяющего центра. При этом первичные клиентские ключевые наборы могут быть записаны на дискеты, смарт-карты, touch memory, e-token и прочее для передачи участникам VPN. Последующее обновление ключевой информации осуществляется автоматически по защищенным каналам VPN.
ViPNet[Координатор] - модуль, осуществляющий в зависимости от настроек следующие функции:
· Сервер-туннель. Модуль позволяет организовать защиту (шифрование) трафика между локальными сетями или группами компьютеров этих сетей для передачи его по открытой глобальной сети. При этом весь IP-трафик туннелируется в защищенное соединение между ViPNet [Координаторами] по UDP-протоколу. Модуль также позволяет обеспечить защищенное управление маршрутизаторами сети (Cisco и др.) за счет использования технологии обратного туннеля.
· Межсетевой экран. Модуль обеспечивает фильтрацию IP-трафика от всех источников вне VPN и источников, трафик от которых туннелируется в соответствии с заданной 14политикой. Также модуль является мультиинтерфейсным межсетевым экраном для разделения локальной сети на несколько сегментов с разными уровнями безопасности.
· Proxy-сервер защищенных соединений. Модуль обеспечивает работу абонентских пунктов защищенной сети от имени одного адреса.
· Сервер "открытый Интернет". Модуль, который устанавливается в точке присоединения локальной сети к Интернет и обеспечивает фильтрацию и туннелирование открытого трафика при доставке его к компьютеру локальной сети с установленной на нем компонентой ViPNet [Клиент].
· Почтовый сервер. Модуль обеспечивает маршрутизацию почтовых конвертов, а также управляющих сообщений Центра Управления Сетью при взаимодействии объектов сети между собой.
· Сервер IP-адресов. Модуль обеспечивает работу с динамическими IP-адресами.
Функциональность ViPNet [Координатора] определяется Центром управления сетью.
ViPNet [Клиент] - модуль, используемый как для обеспечения защиты удаленного доступа к сети офиса так и построения VPN между компьютерами внутри сети офиса, реализует на рабочем месте следующие функции:
· Персональный сетевой экран - возможность защитить компьютер от НСД как из глобальной, так и из локальной сети. Сетевой экран позволяет системному администратору или пользователю (при наличии соответствующих полномочий):
1) Управлять доступом к данным компьютера.
2) Обеспечивать соединения с другими узлами только по инициативе пользователя.
3) Контролировать активность сетевых приложений на данном компьютере.
4) Определять адреса злоумышленников, пытающихся получить доступ к компьютеру.
5) Установление VPN-соединений. Эта функция дает возможность устанавливать защищенные соединения с VipNet [Координаторами] и другими компьютерами, оснащенными ViPNet [Клиентом]. Возможность установления защищенных соединений между компьютерами, оснащенными ViPNet [Клиентом] позволяет:
a) Организовать схему защищенного использования всевозможных Web-приложений с доступом к Web-платформе, на которой установлен ViPNet [Клиент], только определенному списку участников VPN.
b) Защитить и дополнительно авторизовать все соединения между локальными, мобильными и удаленными пользователями, оснащенными ViPNet [Клиентом], и корпоративными серверами приложений, баз данных, SQL-серверами, также оснащенными ViPNet [Клиентом]. Благодаря этому становится защищенным внедрение всевозможных ERP-систем, финансово-учетных систем, работающих в реальном времени, систем типа "Клиент-Банк", "Интернет-Банк", CRM-систем и прочих систем, где с одной стороны накапливается конфиденциальная информация, требующая соблюдения правил информационной безопасности и управления доступом, а с другой стороны необходима коллективная работа с приложениями на сети разных категорий пользователей.
c) Использовать недорогие и общедоступные сетевые ресурсы открытой сети для передачи конфиденциальной информации.
· Услуги защищенных служб реального времени. Модуль предназначен для защиты циркулярного обмена сообщениями, проведения конференций, аудио- и видео-переговоров и позволяет:
1) Обмениваться сообщениями или организовывать циркулярный обмен сообщениями, в процессе которого организатор такого обмена видит все сообщения, в то же время участники обмена сообщений друг друга не видят. При этом ведутся и могут быть сохранены протоколы всех сообщений.
2) Проводить защищенные конференции.
3) Проводить защищенные аудио- (Voice over IP) и видео-переговоры (конференции). Технология ViPNet поддерживает любые стандартные программные и аппаратные средства для проведения аудио- и видео-конференций, основанные на IP-технологиях.
· Сервис защищенных почтовых услуг (деловая почта). Модуль предоставляет услуги защищенной Їделовой почты? с возможностями аутентификации отправителя и получателя, а также обеспечивает контроль за прохождением и использованием документов.
Таблица 3.3. Основные характеристики ViPNet
Название продукта (тип) |
Интерфейсы/Управление |
Производительность |
Криптопротоколы |
Алгоритмы шифрования/ Алгоритмы аутентификации |
|
ViPNet [Администратор]: Центр Управления Сетью, Ключевой Центр. |
API-интерфейс, внутренний мониторинг и управление объектами сети |
С применением аппаратного крипто-акселератора ViPNet Turbo 100 60-70 Мбит/с |
Собственный, IKE |
ГОСТ 28147-89(зависит от настроек), DES, 3DES,RC6, AES |
|
ViPNet [Координатор] |
СОМ-порт, драйвер Программа ЇКонтроль приложений? |
С применением аппаратного крипто-акселератора ViPNet Turbo 100 60-70 Мбит/с |
Собственный |
ГОСТ 28147-89(зависит от настроек), DES, 3DES,RC6, AES |
|
ViPNet [Клиент] |
СОМ-порт, интерфейс, Управление конфигурацией в сети |
С применением аппаратного крипто-акселератора ViPNet Turbo 100 60-70 Мбит/с |
Собственный |
ГОСТ 28147-89(зависит от настроек), DES, 3DES,RC6, AES |
3.2 Решения зарубежных компаний
3.2.1 Межсетевые экраны Juniper Networks (NetScreen)
Межсетевые экраны Juniper Networks (NetScreen) - семейство специализированных продуктов, объединяющих функции межсетевого экрана (firewall), концентратора виртуальных частных сетей (VPN), маршрутизатора и средства управления трафиком (bandwidth manager). Во всех продуктах NetScreen реализуются аппаратно на базе высокоскоростных заказных микросхем (ASIC). Гарантированная пропускная способность устройств до 12Гбит/с.
Обеспечивая максимальную производительность, высокую отказоустойчивость и масштабируемость, межсетевые экраны Juniper Networks (NetScreen) позволяют защитить высокоскоростные магистральные сети, не создавая препятствий, что является неотъемлемым требованием для телекоммуникационных компаний и операторов связи. Решение компании Juniper Networks представлено на рис. 3.4.16
Рисунок 3.4 - Архитектура решений Juniper Networks(NetScreen)
NetScreen-500 - модульная система, предусматривающая подключение до 4 портов Gigabit Ethernet или 8 портов FastEthernet и пропускную способность 700Мбит/с, предназначена для использования в центрах обработки данных, центральных корпоративных узлах доступа к Интернет, сетях операторов связи.
NetScreen-5000 - модульная высокопроизводительная система, предусматривающая подключение до 24 портов Gigabit Ethernet или 72 портов FastEthernet и пропускную способность 12Gbps. Предназначена для использования в крупных центрах обработки данных, сетях операторов связи, предоставля.щих услуги по защите информации.
NetScreen-IDP - системы обнаружения и предотвращения вторжений (IDP) - cемейство cпециализированных продуктов, особенностью которых является использование комплексного метода обнаружения вторжений на 2-7 уровнях модели OSI (включающего анализ поведения протоколов, характера трафика, обнаружение предопределенных последовательностей, распознавание атак типа backdoor, IP spoof, Syn-flood и др.), точность которого позволяет осуществляеть немедленную терминацию атак в реальном времени. Семейство продуктов NetScreen-IDP включает три одинаковые по функциональности модели (IDP-50, IDP-200, IDP-600, IDP-1100), различающиеся величиной пропускной способности и ассортиментом интерфейсов.
NetScreen-IDP включается непосредственно в линию связи и может работать в режиме моста (без IP адресов на интерфейсах) и маршрутизатора. Устройство может быть использовано и в качестве пассивного детектора атак (сниффера). Комплексный метод включает в себя ряд технологий обнаружения атак, основными из которых являются: обнаружение предопределенных последовательностей (Signature Detection), анализ поведения протоколов, Backdoor Detection, Network Honeypot.
NetScreen-204 и NetScreen-208 отличаются количеством портов Ethernet 10/100 (четыре и восемь соответственно). Это наиболее универсальные устройства безопасности, имеющиеся на рынке и легко интегрируемые в многие приложения, включая средние и крупные корпоративные сети, е-бизнес приложения, центры обработки данных, инфраструктуру операторов связи и интернет-17провайдеров. Устройства обеспечивают производительность 550 Mbps и 400 Mbps (устройства 208 и 204 соответственно) при выполнении функций межсетевого экрана. Даже для таких ресурсоемких приложений как применение алгоритмов шифрования 3DES и AES, устройства обеспечивают скорость 200 Mbps.
NetScreen-50 и NetScreen-25 обеспечивают интегрированное решение для малого и среднего бизнеса и для удаленных офисов. Имеют 4 порта Ethernet 10/100. Устройства обеспечивают гибкое решение для задач, где требуются несколько демилитаризованных зон (DMZ), беспроводная локальная сеть, или несколько независимых сегментов сети. NetScreen 50 высокопроизводительное устройство обеспечивает 170 Mbps при выполнении функций межсетевого экрана и 50 Mbps для 3DES, с поддержкой 8,000 сессий и 100 VPN туннелей (100Mbps, 20Mbps при 3DES VPN, 4000 сессий и 25 VPN туннелей для NetScreen-25).
NetScreen-5XT, NetScreen-5XP и Netscreen-5GT Устройства являются устройствами начального уровня, но основаны на таких же технологиях межсетевых экранов, виртуальных частных сетей и управления трафиком, что и устройства верхнего ряда. Это дает возможность использовать данные устройства в удаленных офисах, магазинах и для удаленных пользователей, подключенных по высокоскоростному доступу. Модели выпускаются в двух версиях: версия на 10 пользователей и неограниченная по количеству пользователей Elite- версия. NetScreen-5XT имеет более высокую производительность, встроенный коммутатор на 4 порта 10/100, дополнительную память и резервный доступ по коммутируемой линии.
Программные продукты для мобильных пользователей: NetScreen-Remote VPN Client и NetScreenRemote Security Client, - соответственно VPN клиент и VPN клиент с персональным межсетевым экраном.
Таблица 3.4. Основные характеристики VPN продуктов Juniper Networks
Продукт |
Интерфейсы |
Управление |
Производительность |
Протоколы туннелирования |
Алгоритмы шифрования / Алгоритмы аутентификации |
|
NetScreen- 5400 |
24 Mini-GBIC или 6 Mini-GBIC + 72 10/100 |
WebUI (HTTP/ HTTPS-SSL); CLI (консол ь, SSH или Telnet) |
24/30G FW-1,000,000 15/12G AES VPN- 25,000 |
IPSec, L2TP, L2TP-over-IPSec |
3DES, DES и AES / SHA-1, MD5 |
|
NetScreen- 5200 |
8 Mini-GBIC или 2 Mini-GBIC + 24 10/100 |
8/10G FW-1,000,000 4/5G AES VPN-25,000 |
||||
NetScreen-500 Advanced |
свыше 8 10/100 или 8 Mini-GBIC или 4 GBIC |
700M FW-250,000 250M 3DES VPN- 5,000+10000 Dial-Up |
||||
NetScreen-500 Baseline |
700M FW-128,000 250M 3DES VPN-1,000 |
|||||
NetScreen-208 Advanced |
8 10/100 |
550M FW-128,000 200M 3DES VPN-1,000 |
||||
NetScreen-208 Baseline |
550M FW-64,000 200M 3DES VPN-500 |
|||||
NetScreen-204 Advanced |
4 10/100 |
400M FW-128,000 200M 3DES VPN-1,000 |
||||
NetScreen-204 Baseline |
400M FW-64,000 200M 3DES VPN-500 |
|||||
NetScreen-50 Advanced |
4 10/100 |
170M FW-64,000 45M 3DES VPN-500 |
||||
NetScreen-50 Advanced |
170M FW-48,000 45M 3DES VPN-150 |
|||||
NetScreen-25 Advanced |
100M FW-32,000 20M 3DES VPN-125 |
|||||
NetScreen-25 Advanced |
100M FW-24,000 20M 3DES VPN-50 |
|||||
NetScreen- 5GTP/5GT |
1 10/100 Untrust, 4 10/100 Trust |
75M FW-2,000 20M 3DES VPN-10 |
||||
NetScreen- 5XT/Elite |
70M FW-2,000 20M 3DES VPN-10 |
3.2.2 Решение компании Lucent Technologies(Lucent Secure VPN)
Lucent Technologies имеет в своем арсенале линию Lucent Secure VPN, продукты и системы управления которой образуют наиболее функциональную структуру для построения виртуальных частных сетей (ВЧС) для предприятий. Решение компании Lucent Technologies представлено на рисунке 3.5.
Рисунок 3.5. - Принципиальная схема построения VPN
Центральный офис
Фундаментом линии Lucent Secure VPN является интегрированная платформа централизованного управления правилами - сервер управления безопасностью LSMS (Lucent Security Management Server). Сервер LSMS взаимодействует с серверами аутентификации пользователей RADIUS и SecurID. Он также отвечает за обработку открытых ключей и цифровых сертификатов X.509. Сервер LSMS предусматривает широкие возможности аудита, регистрации и аварийной сигнализации (alarm). Усиление защиты достигается за счет Lucent RealSecure™, встроенной системы обнаружения атак. Сервер LSMS надежно зарекомендовал себя как средство централизованного обеспечения для предприятий, создающих крупномасштабные ВЧС удаленного доступа. Один сервер LSMS способен управлять сотнями шлюзов ВЧС и маршрутизаторов Pipeline и SuperPipe, тысячами клиентов IPSec Client - возможно одновременное управление 24000 туннелей ВЧС.
Приложение управления правилами Access Point QVPN Builder, работающее под управлением системы LSMS, специально оптимизировано для обеспечения параметров корпоративных ВЧС, связывающих отдельные объекты. Централизованное управление профилями ВЧС, правилами межсетевых экранов и правилами качества обслуживания QoS позволяет разворачивать ВЧС быстро и экономично. Реализованные Lucent функции конфигурирования ВЧС и управления правилами, основанные на интеграции LSMS и QVPN Builder, занимают лидирующие позиции в отрасли.
Другой класс оборудования, представленный в линии Lucent Secure VPN -- это маршрутизаторы Access Point и Pipeline/SuperPipe. Их отличительная особенность -- единая сервисная платформа, построенная с учетом требований производительности, масштабируемости, простоты управления и соотношения цены и производительности, в которой реализованы функции маршрутизации, управления полосой пропускания, ВЧС и межсетевого экрана.
Маршрутизаторы Access Point используются там, где требуются производительность и масштабируемость, достаточные для поддержки больших объемов трафика и тысяч туннелей ВЧС. Маршрутизаторы Access Point совместимы с любой технологией ГВС -- IP, Frame Relay, ATM - и поддерживают как ВЧС, объединяющие отдельные объекты, так и ВЧС удаленного доступа. Встроенный аппаратный ускоритель шифрования обеспечивает скорость до 90 Мбит/с при шифровании DES и 3DES.
Применение в маршрутизаторе Access Point технологии CBQ (class-based queuing) выводит Lucent на первое место в обеспечении качества обслуживания IP (QoS). Технология CBQ предусматривает разделение трафика на иерархические классы, которым присваиваются атрибуты полосы пропускания, определяющие привилегии доступа на границе между сетью предприятия и ВЧС. Для оптимизации загрузки IP-сети можно создавать уровни обслуживания, обеспечивать их выполнение и тарифицировать. Маршрутизатор Access Point полностью совместим со стандартом DiffServ (сигнализация обеспечения QoS соответствует текущему определению IETF).
Филиалы и региональные офисы
Шлюзы Lucent VPN, стартовая цена которых составляет 2000 долл., -- это экономичное решение, включающее надежный межсетевой экран и, в качестве опции, аппаратное шифрование данных. Управление шлюзами осуществляется централизованно и масштабируется для поддержки до тысяч программных клиентов IPSec Client, установленных на удаленных и мобильных компьютерах. Семейство шлюзов ВЧС Lucent VPN Firewall Brick насчитывает шесть устройств: Firewall Brick 20, Firewall Brick 80, Firewall Brick 350, Firewall Brick 500, Firewall Brick 1000 и Firewall Brick 1100. Все они, обладая общей функциональностью, отличаются по производительности и соответственно области применения и ценовым параметрам.
Основная отличительная черта шлюзов Lucent VPN - тесная интеграция с надежным межсетевымэкраном, имеющим сертификаты ICSA и NSA, а также встроенные средства аутентификации и контроля доступа, использующие лучшие в своей категории решения на базе стандартов.
В шлюзах Lucent VPN используется собственная операционная система, в которой устранены недостатки защиты стандартных ОС. Активную защиту можно усилить с помощью интегрированных систем обнаружения атак и проверки безопасности.
Удал?нные объекты
Маршрутизаторы ВЧС линии Pipeline предназначены для региональных офисов и удаленных сотрудников, для установки у клиентов или партнеров. Они характеризуются хорошим соотношением цены и качества, низкой стоимостью владения, а также масштабируемостью, которая позволяет использовать их в различных условиях - от домашних офисов с одним пользователем до региональных отделений практически любого масштаба.
Маршрутизаторы Pipeline и SuperPipe со встроенным межсетевым экраном обеспечивают доступ ГВС, маршрутизацию, туннелирование и шифрование по протоколу IPSec и аутентификацию. Централизованное автоматизированное управление правилами ВЧС с помощью сервера LSMS (включая одновременно правила IPSec и межсетевого экрана) снижает стоимость владения и упрощает внедрение на крупномасштабных объектах.
Таблица 3.5. Основные характеристики VPN продуктов Lucent Technologies
Продукт |
Интерфейсы |
Управление |
Производительность |
Протоколы туннелтрования |
Алго- ритмы шифро- вания / Алго- ритмы аутенти-фикации |
|
Access Point 1500 (маршрутизатор ) |
ЛВС: 2х10/100 Ethernet, Gb Ethernet, ГВС: MSSI, HSSI, 4хE1 с интегрир. DSU, DS-3 с интегрир. DSU, ATM OC3/STM-1 |
консоль, Telnet, SSH; SCP; HTTP/HTTPS; поддержка SNMPv2, SNMPv3; 2хRS232; Access Point QVPN Builder; Navis iOperations |
700M FW- 300 000; 155M 3DES VPN- 5000 IPSec удален. доступа, 1500 IP-IP, 3500 L2TP |
IPSec, L2TP, IPIP, GRE, Mobile IP FA/HA |
DES, 3DES, RC4 / MD5, SHA-1 |
|
Access Point 600 (маршрутизатор ) |
ЛВС: 10/100 Ethernet; ГВС: MSSI, HSSI, T1/E1, ISDN, ATM OC3/STM-1 |
SNMP, командный язык сценариев, web- управление; Access Point QVPN Builder; Navis iOperations |
220M FW; 90M 3DES VPN- 600 IPSec, 3500 удален.доступа |
IPSec, L2TP, IPIP, GRE |
||
Access Point 300 (маршрутизатор ) |
ЛВС: 2х10/100 Ethernet; ГВС: MSSI или 2хT1/E1, ISDN S/T или ISDN U |
SNMP, пакетные командные файлы, web-сервер; Access Point QVPN Builder; Navis iOperations |
50M FW; 5M 3DES VPN- 1500 IP-IP, 500 IPSec удален.доступа |
|||
SuperPipe 175 (маршрутизатор ) |
ЛВС: 10/100 Ethernet; ГВС: E1, V.35/X.21, ADSL-DMT |
NavisConnect, NavisAccess; SNMP(MIB); SecureConnect Manager и Lucent Security Management Server |
IPSec |
DES, 3DES, RC4 / MD5, SHA-1 |
||
SuperPipe 170 (маршрутизатор ) |
ЛВС: 10/100 Ethernet; ГВС: ADSL-DMT |
|||||
Superpipe 155 (мульти- сервисный маршрутиза-тор доступа) |
ЛВС: 10/100 Ethernet; ГВС: 2 ISDN U BRI, E1; ISDN S/T |
NavisConnect, SNMP(MIB II), Telnet, NavisAccess |
||||
SuperPipe 95 (мульти- сервисный маршрутиза-тор доступа) |
ЛВС: 10/100 Ethernet; ГВС: 2 BRI S/T |
|||||
Firewall Brick 1100 (аппаратный МЭ) |
7 10/100 Ethernet 4 Gigabit Ethernet |
LSMS |
3G FW- 4 000 000; 1G 3DES VPN- 7150 |
IPSec |
DES, 3DES, RC4 / MD5, SHA-1 |
|
Firewall Brick 1000 (аппаратный МЭ) |
9 10/100 Ethernet 4 Gigabit Ethernet |
1,5G FW- 3 000 000; 1G 3DES VPN- 7150 |
||||
Firewall Brick 500 (аппаратный МЭ) |
14 10/100 Ethernet 1 Gigabit Ethernet |
975M FW- 600 000; 450M 3DES VPN- 8000 |
||||
Firewall Brick 350 (аппаратный МЭ) |
7 10/100 Ethernet 1 Gigabit Ethernet |
650M FW- 1 000 000; 400M 3DES VPN- 5400 |
||||
Firewall Brick 80 (аппаратный МЭ) |
4 10/100 Ethernet |
190M FW- 30 000; 11M 3DES VPN- 200 |
||||
Firewall Brick 20 (аппаратный МЭ) |
3 10/100 Ethernet |
140M FW- 3 000; 3M 3DES VPN-55 |
3.2.3 Решение компании Cisco Systems
Рисунок 3.6. Организация VPN на оборудовании Cisco
Серия Cisco 1800, представленная маршрутизатором Cisco 1841, разработана для обеспечения потребностей небольших офисов и организаций в безопасном доступе к корпоративным сетям и сети Интернет. Cisco 1841 имеет встроенные средства аппаратного ускорения шифрования трафика, возможность дальнейшего увеличения производительности шифрования пут?м установки опционального модуля VPN; функциональность системы предотвращения вторжений (IPS) и межсетевого экрана; широкий спектра интерфейсных модулей, а так же запас производительности для дальнейшего расширения сети и внедрения будущих приложений.
Серия Cisco 2800 представляет собой маршрутизаторы с интеграцией сервисов(ISR), оптимизированные для безопасной передачи данных, голоса и видео на скорости канала связи.
Серия Cisco 2800 отличается гибкой модульной конструкцией. Маршрутизаторы имеют интегрированные средства аппаратного ускорения шифрования, обеспечивают функциональность системы обнаружения вторжений и межсетевого экрана. Маршрутизатор обеспечивает обработку и управление телефонными соединениями, функциональность голосовой почты и другие сервисы.
Большое количество различных типов интерфейсов и запас производительности создают основу для дальнейшего расширения сети и внедрения будущих приложений.
Таблица 3.6. Основные характеристики VPN продуктов Cisco
Продукт |
Интерфейсы |
Управление |
Производительность |
Протоколы туннелирования |
Алго- ритмы шифро- вания / Алго- ритмы аутенти- фикации |
|
Cisco ISR 2851 |
2 10/100/1000Т; 1 порт AUX; 1 порт USB1.1 |
Командная строка, консоль, telnet |
IPSec |
Командная строка, консоль, telnet MD5, SHA- 1 |
||
Cisco ISR 2801 |
2 10/100ТХ; 1 порт AUX; 1 порт USB1.1 |
IPSec |
||||
Cisco ISR 1841 |
2 10/100ТХ; 1 порт AUX; 1 порт USB1.1; гнездо расширения AIM |
IPSec |
||||
Cisco Pix 515E |
до 6 10/100 Ethernet; 8 VLAN 802.1g |
SNMP; ПО PIX Device Manager, Cisco Secure Policy Manager |
190M FW-176 000; 135M 3DES VPN- 2000, 130M АES-128 VPN-2000 |
IPSec |
3DES, AES- 128 / MD5, SHA- 1 |
|
Cisco Pix 506E |
2 10/100 Ethernet |
100M FW-53 000; 16M 3DES VPN-25, 30M АES-128 VPN-25 |
IPSec |
4. Характеристики услуги VPN
виртуальный частный сеть маршрутизатор
Качество услуги VPN нельзя определить в отрыве от качества обслуживания сетей доступа и транспортных сетей, используемых для оказания услуги VPN.В таблице 4.1 показана взаимосвязь параметров качества услуги VPN с характеристиками транспортной сети и сети доступа.
Таблица 4.1 Параметры качества услуги VPN
Параметры качества услуги VPN |
Параметры качества узла телематической(ТМ) службы |
Параметры качества сети доступа |
Параметры качества транспортной сети |
|
Параметры доступности услуги |
Вероятность отказа сервера |
Доля потерь вызовов |
||
Вероятность отказа на модемном поле |
Время установления соединения |
|||
Параметры качества передачи |
Вероятность потерь пакетов в узле ТМ службы |
Время установления соединения |
Вероятность потерь пакета |
|
Задержка пакета на обработку в узле ТМ службы |
Задержка пакета |
|||
Вариация задержки пакета |
||||
Надежность узла |
Надежность соединения |
Надежность соединения |
||
Безопасность |
Безопасность |
Безопасность |
Для услуги VPN важными являются характеристики надежности и безопасности. Далее будем рассматривать только эти две характеристики услуги: надежность и безопасность. Надежностьуслуги выражается вероятностью исправного состояния соединения (коэффициентом готовности) или средним временем наработки системы на отказ. Надежность услуги обеспечивается надежностью элементов соединения, резервированием и ремонтом (восстановлением) элементов соединения. Под безопасностью системы понимается способность системы функционировать, не переходя в опасное состояние, в котором возникает ущерб большого масштаба. Безопасностьуслуги может выражаться как вероятностью возникновения ущерба, так и математическим ожиданием этого ущерба. Безопасность услуги обеспечивается защитными мерами (преградами).
Прежде чем оценивать надежность и безопасность услуги VPN, установим соотношение между понятиями надежности и безопасности.
1. Надежность системы выражается вероятностью исправного состояния системы. Безопасность системы выражается вероятностью опасного состояния системы.
2. В надежности исходным термином является неисправность (отказ, дефект), а в безопасности исходным термином является опасное состояние (коллапс, вред). Отказ -это событие, после возникновения которого система теряет свою работоспособность. Опасное состояние - это состояние, при котором возникает ущерб.
3. Модели надежности, как правило, учитывают элементы и состав системы, различные связи между ними и режимы работы системы. В моделях безопасности на первый план выходят не учитываемые в теории надежности компоненты: защитные средства, неблагоприятные внешние воздействия, умышленные действия людей.
4. Исходными данными для моделей надежности являются наблюдения в реальных условиях эксплуатации за такими событиями как отказы и восстановления элементов системы. Исходными данными для моделей безопасности являются наблюдения в реальных условиях эксплуатации за инициирующими событиями (например, атаками на систему), которые приводят к опасному состоянию. Так как наблюдаемые события являются редкими, то возникают трудности со статистической обработкой событий из-за малого объема информации. В связи с невозможностью экспериментов для оценки безопасности единственным выходом является проигрывание на модели возможных вариантов развития инициирующего события, сценариев перехода системы в опасное состояние.
5. При оценке безопасности необходимо знать множество опасных состояний и логику ихвозникновения. Поэтому специалист по безопасности должен уметь составлять сценарий перехода системы в опасное состояние, т.е. грамотно думать, как проще привести систему в опасное состояние, в отличие от специалиста по надежности, думающего о сохранении ее работоспособности.
5. Оценка над?жности услуги VPN
Модель надежности услуги VPN с точки зрения пользователей показана на рис.5.1. Модель надежности услуги VPN представлена в виде системы с последовательным в смысле надежности соединением блоков.
Рис. 5.1 Модель надежности услуги VPN
Надежность услуги (как и надежность любой системы) оценивается коэффициентом готовности услуги. Коэффициент готовности услуги VPN равен
,
где - коэффициент готовности ПК пользователя,
- коэффициент готовности абонентской линии,
- коэффициент готовности сервера доступа,
- коэффициент готовности транспортной сети,
- коэффициент готовности пограничного маршрутизатора сети,
- коэффициент готовности сервера аутентификации, сервера сертификатов и сервера политики,
- коэффициент готовности брандмауэра (межсетевого экрана).
Модель надежности сервера доступа в общем случае описывается дублируемой системой с различными типами резерва (нагруженный, ненагруженный, облегченный резерв). Модель надежности сервера доступа показана на рис.5.2. Основной и резервный блоки состоят из двух элементов: технические средства сервера и программные средства сервера.
Рис. 5.2 Модель надежности сервера доступа
При последовательном соединении элементов системы в смысле надежности коэффициент готовности системы и интенсивность отказов системы равны
, ,
где - коэффициент готовности элемента i, ,
- интенсивность отказов элемента i ,
- интенсивность восстановления элемента i ,
n - число элементов системы.
При параллельном соединении элементов системы в смысле надежности коэффициент простоя системы и интенсивности восстановлений системы равны
,,
где - коэффициент простоя элемента i .
Дублируемая система с нагруженным резервом из одного рабочего и одного резервного элемента в нагруженном резерве имеет коэффициент готовности
,
где ??,µ - интенсивность отказов и восстановлений элемента системы.
В дублируемой системе с ненагруженным резервом элемент, находящийся в состоянии ненагруженного резерва, не может отказать. Коэффициент готовности системы равен
,
В системе с облегченным резервом резервный элемент может отказать, но интенсивность отказов резервного элемента () меньше интенсивности отказов работающего элемента (). Коэффициент готовности системы равен
.
Модель надежности ПК пользователя описывается нерезервируемой системой с двумя последовательно соединенными элементами, аппаратные средства ПК, программное обеспечение ПК. Модель надежности ПК показана на рис.5.3. ПК пользователя является менее надежным блоком, чем остальные блоки модели надежности услуги. Работоспособность ПК зависит не только от состояния аппаратуры и программного обеспечения, но и от антивирусной защиты и квалификации пользователя.
...Подобные документы
Структура локальной компьютерной сети организации. Расчет стоимости построения локальной сети. Локальная сеть организации, спроектированная по технологии. Построение локальной сети Ethernet организации. Схема локальной сети 10Base-T.
курсовая работа [126,7 K], добавлен 30.06.2007Цели создания виртуальных частных сетей, их классификация. Принцип работы, преимущества и недостатки данной технологии. Процесс обмена данными. Архитектура локальной сети, защита ее сегментов. Структура интегрированной виртуальной защищенной среды.
курсовая работа [2,8 M], добавлен 28.03.2014Назначение и классификация компьютерных сетей. Обобщенная структура компьютерной сети и характеристика процесса передачи данных. Управление взаимодействием устройств в сети. Типовые топологии и методы доступа локальных сетей. Работа в локальной сети.
реферат [1,8 M], добавлен 03.02.2009Оптимизация и дальнейшее развитие локальной сети Костанайского социально-технического университета им. академика З. Алдамжар. Перестройка существующей структуры локальной сети в соответствии с результатами анализа. Антивирусная защита компьютерной сети.
дипломная работа [2,0 M], добавлен 02.07.2015Подбор конфигурации рабочих станций, сервера и программного обеспечения для соединения с локальной компьютерной сетью. Организация локальной сети, ее основание на топологии "звезда". Антивирусная защита, браузеры, архиваторы. Особенности настройки сети.
курсовая работа [90,6 K], добавлен 11.07.2015Принцип деятельности ООО "МАГМА Компьютер". Особенности предметной области. Цели создания компьютерной сети. Разработка конфигурации сети. Выбор сетевых компонентов. Перечень функций пользователей сети. Планирование информационной безопасности сети.
курсовая работа [2,3 M], добавлен 17.09.2010Историческая справка о глобальной информационной сети Internet. Основные типы конечных узлов глобальной сети: отдельные компьютеры, локальные сети, маршрутизаторы и мультиплексоры. Физическая структуризация сети. Навигация и передача данных в интернете.
контрольная работа [31,5 K], добавлен 27.10.2013Особенности проектирования компьютерной сети (сети передачи данных). Сеть для редакции журнала, которая располагается на первом этаже здания, имеет отдельный вход. Программное обеспечение для локальной сети редакции журнала. Параметры кабельного лотка.
курсовая работа [2,4 M], добавлен 17.06.2011Internet. Протоколы сети Internet. Принцип работы Internet. Прикладные программы. Возможности в Internet? Правовые нормы. Политика и Internet. Этические нормы и частная коммерческая Internet. Соображения безопасности. Объем сети Internet.
дипломная работа [128,8 K], добавлен 23.06.2007Схема соединения компьютеров в локальной сети: линейная шина, звезда, кольцо. Аппаратное обеспечение: адаптер для передачи и према информации. Создание всемирной компьютерной сети Интернет. Базовые и прикладные протоколы. Способы подключения к интернету.
презентация [153,4 K], добавлен 27.04.2015Службы работающие в локальной сети. Подборка программного обеспечения. Логическая топология сети. Физическая реализация локальной сети. Схема размещения серверного оборудования в 19 дюймовой стойке. Обеспечение электробезопасности и сохранности данных.
курсовая работа [2,0 M], добавлен 27.11.2013Сущность и принцип действия локальной вычислительной сети, ее виды, преимущества и недостатки. Предпосылки внедрения технологии виртуальной локальной сети в локальных сетях. Требования, предъявляемые к домовым локальным сетям при их модернизации.
дипломная работа [2,9 M], добавлен 26.08.2009Разработка проводной локальной сети и удаленного доступа к данной сети с использованием беспроводной сети (Wi-Fi), их соединение между собой. Расчет времени двойного оборота сигнала сети (PDV). Настройка рабочей станции, удаленного доступа, сервера.
курсовая работа [2,0 M], добавлен 10.11.2010Выбор и обоснование технического обеспечения для разрабатываемой локальной сети в школе с использованием технологии Ethernet и топологией "звезда". Перечень активного и пассивного технического оборудования, необходимого для локальной вычислительной сети.
курсовая работа [190,4 K], добавлен 15.11.2012Глобальная компьютерная сеть. Стандарт протоколов TCP/IP. Основные типы подключения к Интернет. Подключение через локальные сети. Выделенная линия или канал. Направления развития Internet. Локальные вычислительные сети. Адресация в сети Интернет.
презентация [1,4 M], добавлен 28.10.2011Анализ цели проектирования сети. Разработка топологической модели компьютерной сети. Тестирование коммутационного оборудования. Особенности клиентских устройств. Требования к покрытию и скорости передачи данных. Виды угроз безопасности беспроводных сетей.
дипломная работа [3,3 M], добавлен 22.03.2017Топология вычислительной сети как конфигурация графа, вершинам которого соответствуют компьютеры сети. Выбор технологии построения сети по методам передачи информации. Выбор сетевых устройств и средств коммуникации. Монтажная схема локальной сети.
курсовая работа [394,2 K], добавлен 28.02.2009Применение сетевых технологий в управленческой деятельности. Понятие компьютерной сети. Концепция открытых информационных систем. Преимущества объединения компьютерных сетей. Локальные вычислительные сети. Глобальные сети. Международная сеть INTERNET.
курсовая работа [38,1 K], добавлен 16.04.2012Технология VPN, используемая самим предприятием для объединения своих филиалов и являющаяся основой для предоставления услуг провайдером. VPN на базе оборудования, размещенного в помещении заказчика. Основные требования к безопасности разделяемой сети.
презентация [1,9 M], добавлен 30.05.2014Локальная вычислительная сеть, узлы коммутации и линии связи, обеспечивающие передачу данных пользователей сети. Канальный уровень модели OSI. Схема расположения компьютеров. Расчет общей длины кабеля. Программное и аппаратное обеспечение локальной сети.
курсовая работа [55,0 K], добавлен 28.06.2014