ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
  •  
    Бесплатные рефераты
     

     

     

     

     

     

         
     
    Адаптивна система VPN в розподілених комп'ютерних мережах
         

     

    Інформатика, програмування

    Адаптивна система VPN в розподілених комп'ютерних мережах

    Володимир Ігнатов, експерт з інформаційної безпеки

    При використанні принципу гібридних схем віртуальна мережа самоорганізується при зміні параметрів як фізичної, так і віртуальної мережі та забезпечує прозору захист трафіку від джерела до одержувача повідомлення незалежно від ініціатора з'єднання. Приватні IP-адреси в загальному випадку не узгоджені між собою і можуть виділятися динамічно. IP-адреси NAT-пристроїв також можуть виділятися динамічно провайдерами глобальних і територіальних мереж.

    Peer to Peer (P2P) - технологія побудови мережі розподілених рівноправних вузлів за принципом децентралізації.

    Розподілена комп'ютерна мережа - мережа довільної структури, що представляє собою об'єднання глобальних, регіональних і локальних обчислювальних мереж, комп'ютерів індивідуальних або мобільних користувачів, підключених до глобальної або територіальної мережі. У склад локальних мереж можуть входити різні виділені фрагменти, відділені маршрутизаторами (як провідні, так і бездротові). Для організації взаємодії використовуються NAT-пристрої, що здійснюють перетворення приватних адрес в адреси, маршрутизації через глобальні мережі.

    VPN від джерела до одержувача інформації У сучасних умовах ставиться завдання захисту інформації як від зовнішнього, так і внутрішнього порушника. Один з найважливіших аспектів цього завдання - забезпечити гарантований захист від доступу до переданої інформації, її модифікації при взаємодії двох комп'ютерів на будь-якій ділянці розподіленої комп'ютерної мережі.

    Рішення такого завдання можливе лише криптографічними методами.

    Оскільки ми не обговорюємо тип трафіка, що передається, то шифрування даних може проводитися тільки на рівні трафіку комп'ютера або підмережі, а не окремих додатків. Тобто мова йде про технології VPN на рівні 3 з шифруванням IP-трафіку.

    Разом з тим технологія криптографічних VPN зазвичай використовується для створення тунелів через глобальну мережу між VPN-шлюзами (кріптошлюзамі) локальних мереж, або для забезпечення віддаленого доступу користувачів через тунель з VPN-шлюзом в локальну мережу, або для забезпечення доступу по клієнт-серверної технології усередині маршрутизуються мережі. І практично немає рішень, які дозволили б встановити точкове VPN-з'єднання ззовні з довільним вузлом усередині локальної мережі. А саме це необхідно, щоб забезпечити недоступність трафіку в будь-якій точці розподіленої мережі, у тому числі всередині локальної мережі. Особливо важливим такий підхід стає при використанні фрагментів бездротових локальних мереж.

    Вимоги до VPN

    Що потрібно для нормального функціонування подібної віртуальної мережі?

    1. Для проходження через пристрій NAT VPN-трафік повинен бути інкапсульовані в UDP-або TCP-формат.

    2. Кожен VPN-вузол повинен володіти інформацією про IP-адреси інших вузлів в тій мережі, де ці вузли знаходяться (тільки IP-адреса може бути критерієм для вибору ключа при створенні VPN-з'єднання), про найближчі IP-адресах і портах доступу до цих вузлів через пристрою NAT або VPN-шлюзи.

    3. Якщо VPN-сайт розташований за динамічним пристроєм NAT, то повинна підтримуватися постійна можливість проходження вхідного VPN-трафіку через пристрій NAT від інших VPN-вузлів. 4. VPN-шлюз повинен "знати", через які VPN-шлюзи можна потрапити на інші VPN-сайти. Таким чином, VPN-мережа повинна носити адаптивний характер. VPN-вузли повинні автоматично реєструвати змінюється інформацію про параметри доступу до VPN-сайтам, інформувати про це інші вузли, завжди бути миттєво готовими до передачі за певними маршрутами або прийому довільного трафіку.

    Виходячи з викладеного, виникає необхідність організації такої віртуальної мережі за схемою P2P, коли кожен вузол має можливість отримувати інформацію про параметри і маршрутах доступу до іншим вузлам для організації прямих з'єднань.

    При цьому для скорочення службового трафіку використовується принцип не чисто пірінгових (тимчасових) мереж, коли кожен вузол у всій повноті рівноправний і кожен бере участь в отриманні інформації один про одного, а принцип гібридних схем. У таких схемах існують сервери, що використовуються для координації роботи, реєстрації та надання інформації про доступі вузлів мережі один до одного. Ці сервери (координатори) обмінюються інформацією між собою про себе і вузлах мережі також по пірінгової або гібридної схемою. Така технологія дозволяє побудувати VPN всередині довільної розподіленої мережі.

    Згідно з викладеними принципами побудована технологія віртуальних захищених мереж ViPNet.

    Основні елементи технології ViPNet На кожному вузлі (захищається комп'ютері або координатора, що здійснює захист виділеного фрагмента локальної мережі) встановлюється ПО клієнта або координатора, що забезпечує шифрування трафіку і його інкапсуляцію в UDP-формат (VPN-пакет) для вільного проходження через NAT-пристрої (див. малюнок). Одночасно це ПЗ виконує функції мережевого екрану як для відкритого трафіку, так і трафіку усередині VPN.

    Установка координаторів в мережах виробляється з міркувань їх доступності для певної групи клієнтів. Як правило, їх встановлення здійснюється на кордоні локальної мережі з зовнішньої мережею або внутрішнього захищається сегменту локальної мережі.

    Управління зв'язками клієнтів і координаторів, симетричною ключовою інформацією проводиться з центрів управління мережею (ЦУС) і ключових центрів (КЦ). ЦУСи та КЦ різних віртуальних мереж взаємодіють між собою, якщо необхідно організувати взаємодію між окремими вузлами різних віртуальних мереж.

    Для організації Р2Р-з'єднань кожен клієнт при включенні або зміну своїх мережевих налаштувань через VPN-з'єднання реєструється на своєму координатора і одночасно отримує від нього інформацію для організації підключення до вузлів, пов'язаним з ним і присутнім в даний момент в розподіленої мережі. Координатори розсилають інформацію про клієнта на інші координатори своєї віртуальної мережі, на яких зареєстровані пов'язані з даним клієнтом вузли. За наявності зв'язків з вузлами чужих віртуальних мереж інформація пересилається на шлюзовий координатор своєї мережі в чужу мережу, який в свою чергу відправляє цю інформацію на шлюзовий координатор цієї чужий мережі.

    Для захисту від перетину приватних IP-адрес драйвер кожного вузла автоматично формує і закріплює за кожним іншим вузлом, пов'язаним з ним, унікальні на даному сайті віртуальні IP-адреси видимості них відповідальності за числом, що відповідає числу реальних IP-адрес кожного вузла. Причому ці адреси ніяк не синхронізовані між вузлами, тобто деякий вузол A видно з вузла B і C під різними віртуальними адресами. Драйвер у всіх необхідних випадках проводить необхідні підміни IP-адрес, надаючи додатка на комп'ютері віртуальний або реальний IP-адреса видимості вузла, за яким воно має звертатися на віддалений вузол.

    Реальна відправка VPN-пакетів проводиться не по IP-адресою видимості вузла, а по найближчому IP-адресу, через який можливий доступ до вузла-одержувача. При цьому, якщо до вузла є кілька можливих каналів доступу, автоматично з урахуванням заданих метрик визначається найбільш швидкий канал.

    Для організації прямої взаємодії з вузлами, розташованими за пристроєм з динамічним NAT, "свердляться дірки "в пристроях NAT:

    - вузол проводить періодичний опитування через пристрій NAT деякого координатора, відкриваючи можливість передати через цей координатор і пристрій NAT будь ініціативний трафік з інших вузлів;

    - при вступі на такий вузол A через його координатор першого пакету від вузла B, також працює через динамічний NAT, організовується періодичний опитування за адресою та порту пристрою NAT вузла B, повідомлених координатором. Тим самим вузла B надається можливість послати пакети на вузол A безпосередньо через пристрій NAT, минаючи координатор. Якщо пакети безпосередньо передати не вдається, весь трафік йде транзитом через координатори.

    Забезпечується по можливості пряма маршрутизація VPN-пакетів в залежності від місця розташування і типу вузла -- одержувача пакета:

    - якщо вузли розташовані в одній локальній мережі, пакети направляються один одному напряму;

    - за наявності координатора на кордоні локальної мережі пакети для зовнішніх вузлів прямують через цей координатор;

    - якщо інший вузол розміщений на території іншої локальної мережі за координатором, то пакет надсилається на цей координатор;

    - на вузол, розташований за пристроєм з динамічним NAT, перший пакети трафіку завжди відправляються через його координатор. При отриманні від вузла, розташованого за пристроєм з динамічним NAT, прямих пакетів весь трафік для цих вузлів починає направлятися безпосередньо.

    Весь службовий трафік передається всередині VPN-з'єднань, що виключає можливість втручання для дезорганізації VPN-мережі.

    Підсумки

    Розглянута технологія організації віртуальній мережі в порівнянні зі стандартними схемами VPN:

    - забезпечує захист будь-якого типу IP-трафіку від доступу зловмисників на всіх ділянках мережі;

    - забезпечує незалежність від адресної структури і способів організації розподіленої мережі, автоматично підлаштовується під неї при змінах, що практично повністю виключає необхідність будь-яких налаштувань в клієнтських і серверних модулях VPN;

    - створює умови для прямого online-з'єднання між будь-якими вузлами, не вимагаючи установки на них будь-яких статичних правил;

    - розподіляє роботу по кріптообработке трафіку, звичайно виконувану на кріптошлюзе, між багатьма вузлами VPN;

    - забезпечує строго точкову доставку пакетів вузла в локальній мережі, що виключає будь-які проблеми безпеки, пов'язані з помилками в настройках МСЕ;

    - забезпечує можливість взаємодії віддалених користувачів з відкритими ресурсами Інтернету через МСЕ локальної мережі відповідно до заданих на ньому політиками. При цьому на VPN-клієнта може бути встановлений режим, при якому з'єднання з відкритими ресурсами через Інтернет-провайдера стає неможливим;

    - легко масштабується і модернізується, не вимагаючи додаткових настройок на вузлах.

    Технологія ViPNet породжує додатковий службовий трафік між VPN-вузлами, однак в основному він з'являється тільки при включення комп'ютерів або зміну їх мережевих налаштувань, і обсяг його складає 2-3% від основного трафіку.

    VPN-шлюз даної технології може пропускати VPN-пакети в локальну мережу для інших VPN-сайтів без їх розшифрування, що потенційно могло б становити небезпеку для відкритих машин локальної мережі у випадку підробки пакетів. Однак VPN-пакети маршрутізіруются VPN-шлюзом виключно у відповідності зі знаннями, які є на VPN-шлюзі, а не виходячи з параметрів самого пакету. Пакет у будь-якому разі може бути направлений тільки деякому VPN-сайту в локальній мережі. Такий пакет, якщо його не вдається розшифрувати, буде блокований цим вузлом і не зможе представляти небезпеку.

    Список літератури

    Information Security № 1, лютий-березень 2009

         
     
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

     
     
     
      Все права защищены. Reff.net.ua - українські реферати !