2.2.3 Архітектура на базі маршрутизаторів

Оскільки вся інформація, витікаюча з локальної мережі, проходить крізь маршрутизатор, то доцільно покласти на цей маршрутизатор і задачі шифрування.

Прикладом устаткування для побудови VPN на маршрутизаторах є устаткування компанії Cisco Systems. Починаючи з версії програмного забезпечення IOS 11.3(3) T маршрутизатори Cisco підтримують протоколи L2TP (Layer 2 Tunneling Protocol) – протокол тунеліровання канального рівня, що дозволяє організовувати VPN із заданими пріоритетами доступу, проте не містить в собі засобів шифрування і механізмів аутентифікації) і IPSec. Крім простого шифрування проходячої інформації Cisco підтримує і інші функції VPN, такі як ідентифікація при встановленні тунельного з'єднання і обмін ключами.

Рисунок 2.2 - VPN на базі маршрутизаторів

Для побудови VPN Cisco використовує тунеліровання з шифруванням будь-якого IP-потоку. При цьому тунель може бути встановлений, грунтуючись на адресах джерела і приймача, номера порту TCP(UDP) і вказаної якості сервісу (QoS).

2.2.4 Архітектура на базі спеціалізованих апаратних засобів

Такий спосіб характерний для мереж, які потребують високої продуктивності. В такому випадку для створення VPN використовується спеціалізоване устаткування.

Рисунок 2.3 - VPN на основі апаратних методів

Для вибору конкретної реалізації VPN в рамках даного проекту проаналізуєм переваги та недоліки кожної з архітектур та зведемо їх у таблицю 2.1. [4]

Таблиця 2.1 - Переваги та недоліки побудови VPN різнох архітектури

Архітектура	Переваги	Недоліки
На базі ОС та спеціалізованого ПЗ	- не потребує додаткових витра на обладнання; - оперативність оновлення версій, пошуку та виправлення помилок; - повна захищеність при обміні між двома точками;	- при збільшенні кількості користувачів може потребуватись модернізація апаратної бази; - складність настробвання та адміністрування;
На базі брандмауерів	- повний контроль тунельованого трафіку; - комплексний захист інформаційного обміну; - ефективне адміністрування, шаблонність конфігурування;	- підвищення навантаження на ЦП, що значно знижує продуктивність брандмауера - при збільшенні кількості користувачів може потребуватись модернізація апаратної бази;

продовження таблиці 2.1

		- в різі установки брандмауера перед маршрутизатором, то це є потенціне небезпечним місцем з боку локальної мережі;
На базі маршрутизаторів	- Більшість сучасних маршрутизаторів маєть вбудовані фунції побудови VPN, що суттєво зменшує витрати на обладнання; - Можливість гнучно керувати структурою мережі; - Простота адміністрування;	- збільшення навантаження на ЦП, що може зменшити продуктивність пристрою; - канал між отримувачем та маршрутизатором може стати потенційно небезпечним місцем;
На базі спеціалізованих засобів	- висока продуктивність, порівняно із іншими методами; - спеціалізовані пристрої здатні забезпечити більш тонку настройку в залежності від потреб мережі.	- висока вартість програмног-апаратних комплексів; - неможливість модернізації апаратної частини; - складність адміністрування, яка потребує спеціалізованих навичок. - канал між отримувачем та маршрутизатором може стати потенційно небезпечним місцем.

При проектуванні мережі було прийняте рішення базуватись на архітектурі, яка використовує маршрутизатори. Адже для побудови мережі підприємства все одно буде потрібно устанавливати обладнання керування ір-потоками, а більшість сучасних виробниківа обладнання маєть вбудовані засоби для організації віртуальної приватної мережі. Крім того при побудові VPN мережі підприємства планується використовувати технологію IPSec для шифрування трафіку, адже це є вільним стандартом, та дефакто сьогодні є базовою технологією для побудови систем безпеки мережного рівня як для протоколу IP версії 4 (IPv4) так і для версії 6 (IPv6). Розглянемо детальніше принцип роботи даного протоколу.

2.3 Архітектура протоколу IPSec

Протокол IP Sec забезпечує:

• аутентифікацію, шифрування та цілісність даних на рівні переданих ІР-

пакетів;

• захист від повторної передачі пакетів або повідомлень (replay attack);

• створення, автоматичне оновлення та захищене розповсюдження

криптографічних ключів;

• використання стійких криптографічних алгоритмів шифрування,

хешування та електронного цифрового підпису, включаючи російські ГОСТ 28147 - 89 (шифрування), ГОСТ Р 34.11 - 94 (хешування), ГОСТ Р 34.10 - 94, ГОСТ Р 34.10 - 2001 (електронний цифровий підпис).

IP Sec об’єднує в собі базові специфікації, опубліковані в якості RFC - документів "Архітектура безпеки IP", (RFC 2401)" Аутентифікуючий заголовок (AH)", "Інкапсуляція зашифрованих даних (ESP)" (RFC1825, 1826 и 1827). Проте ці стандарти протягом багатьох років рахують застарілими і тому вже не використовуються. Їм на зміну в 1998 році Робоча група IP Security запропонувала нові версії цих специфікацій, які тепер мають статус попередніх стандартів - це RFC2401 - RFC2412.

Ядро IPSec складається з трьох протоколів:

AH (Authentification Header - заголовок аутентифікації) - гарантує цілісність та аутентичність даних. Протокол не зашифровує пакети, дїє як цифровий підпис та гарантує, що дані в пакеті IP не будуть несанкціоновано змінені.

ESP (Encapsulating Security Payload - інкапсуляція зашифрованих даних) - зашифровує передані дані, забезпечуючи конфіденційність, може також підтримувати аутентифікацію та цілісність даних. Заголовок ESP вставляється в пакет після заголовку IP перед заголовком протоколу вищого рівня (в транспортному режимі) або перед інкапсульованим заголовком IP (в тунельному режимі).

IKE (Internet Key Exchange - обмін ключами Інтернету) - вирішує допоміжну задачу автоматичного надання кінцевим пунктам захищеного каналу секретних ключів, необхідних для роботи протоколів аутентифікації та шифрування даних.

Для того, щоб протоколи АН та ESP захищали передані дані, протокол ІКЕ встановлює між двома кінцевими пунктами логічний зв'язок (безпечна асоціація SA (Security Association ). Безпечна асоціація в протоколі IPSec являє собою однонаправлений (симплексний) логічний зв'язок, тому для встановлення безпечного двостороннього обміну необхідно встановити дві безпечні асоціації.

Протоколи АН та ESP можуть захищати дані в двох режимах: транспортному та тунельному. В транспортному режимі ІР - пакет передається через мережу за допомогою заголовка цього пакету, а в тунельному режимі початковий пакет поміщається в новий ІР - пакет, і дані передаються по мережі на основі заголовку нового ІР - пакету.

Протокол IKE забезпечує аутентифікацію сторін, узгодження параметрів асоціацій захисту IKE і IPSec, а також вибір ключів для алгоритмів шифрування. IKE опирається на протоколи ISAKMP (Internet Security Association and Key Management Protocol - протокол керування асоціаціями та ключами захисту в мережі Internet) і Oakley, які керують процесом створення та оброблення ключів шифрування, що використовуються в перетвореннях IPSec. Протокол IKE формує асоціації захисту між потенційними сторонами IPSec, підтримує хеш - функцію та псевдо випадкову функцію (PRF), регламентований RFC 2409.

Хеш - функція - це функція стійка до колізій, тобто неможливо знайти два різних повідомлення m 1 і m 2, таких, що H ( m 1) = H ( m 2), де H - хеш функція.

Замість спеціальних PRF використовується хеш - функція в конструкції HMAC (HMAC - механізм аутентифікації повідомлень з використанням хеш - функцій).