В виде специального программно-аппаратного обеспечения

Реализация VPN сети осуществляется с помощью специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высшую производительность и, обычно, высшую степень защищённости.

В виде программного решения

Употребляют компьютер со особым программным обеспечением, обеспечивающим функциональность VPN.

Интегрированное решение

Функциональность VPN обеспечивает комплекс, решающий также задачки фильтрации сетевого трафика, организации сетевого экрана и обеспечения В виде специального программно-аппаратного обеспечения свойства обслуживания.

[править]По предназначению

Intranet VPN

Употребляют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.

Remote Access VPN

Употребляют для сотворения защищённого канала меж сектором корпоративной сети (центральным кабинетом либо филиалом) и одиночным юзером, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера, корпоративного В виде специального программно-аппаратного обеспечения ноутбука, телефона илиинтернет-киоскa.

Extranet VPN

Употребляют для сетей, к которым подключаются «внешние» юзеры (к примеру, заказчики либо клиенты). Уровень доверия к ним намного ниже, чем к работникам компании, потому требуется обеспечение особых «рубежей» защиты, предотвращающих либо ограничивающих доступ последних к особо ценной, секретной инфы.

Internet VPN

Употребляется для В виде специального программно-аппаратного обеспечения предоставления доступа к вебу провайдерами, обычно в случае если по одному физическому каналу подключаются несколько юзеров.

Client/Server VPN

Он обеспечивает защиту передаваемых данных меж 2-мя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится меж узлами, находящимися, обычно, в одном секторе сети, к примеру, меж В виде специального программно-аппаратного обеспечения рабочей станцией и сервером. Такая необходимость очень нередко появляется в тех случаях, когда в одной физической сети нужно сделать несколько логических сетей. К примеру, когда нужно поделить трафик меж денежным департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом секторе. Этот вариант похож на технологию VLAN, но В виде специального программно-аппаратного обеспечения заместо разделения трафика, употребляется его шифрование.

[править]По типу протокола

Есть реализации виртуальных личных сетей под TCP/IP, IPX и AppleTalk. Но на сегодня наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большая часть VPN решений поддерживает конкретно его. Адресация в нём в большинстве случаев выбирается в согласовании В виде специального программно-аппаратного обеспечения со эталоном RFC5735, из спектра Приватных сетей TCP/IP

[править]По уровню сетевого протокола

По уровню сетевого протокола на базе сравнения с уровнями эталонной сетевой модели ISO/OSI.

[править]Примеры VPN

§ IPSec (IP security) — нередко употребляется поверх IPv4.

§ PPTP (point-to-point tunneling protocol) — разрабатывался совместными усилиями нескольких компаний, включая В виде специального программно-аппаратного обеспечения Microsoft.

§ PPPoE (PPP (Point-to-Point Protocol) over Ethernet)

§ L2TP (Layer 2 Tunnelling Protocol) — употребляется в продуктах компаний Microsoft и Cisco.

§ L2TPv3 (Layer 2 Tunnelling Protocol version 3).

§ OpenVPN SSL VPN с открытым начальным кодом, поддерживает режимы PPP, bridge, point-to-point, multi-client server

§ Hamachi - обычная в настройке программка, позволяющая В виде специального программно-аппаратного обеспечения сделать VPN-сеть в считанные секунды, где все клиенты соединены впрямую.

18. IPsec

IPSec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет производить доказательство подлинности и/либо шифрование IP-пакетов. IPsec также содержит в себе протоколы для защищённого обмена ключами в сети Веб. В главном В виде специального программно-аппаратного обеспечения, применяется для организации vpn-соединений.

Архитектура IPsec

Протоколы IPsec, в отличие от других отлично узнаваемых протоколов SSL и TLS, работают на сетевом уровне (уровень 3 модели OSI). Это делает IPsec более гибким, так что он может употребляться для защиты всех протоколов, базирующихся на TCP и UDP. IPsec может употребляться для В виде специального программно-аппаратного обеспечения обеспечения безопасности меж 2-мя IP-узлами, меж 2-мя шлюзами безопасности либо меж IP-узлом и шлюзом безопасности. Протокол является "надстройкой" над IP-протоколом, и обрабатывает сформированные IP-пакеты описанным ниже методом. IPsec может обеспечивать целостность и/либо конфиденциальность данных передаваемых по сети.

IPsec употребляет последующие протоколы для выполнения В виде специального программно-аппаратного обеспечения разных функций:

§ Authentication Header (АН) обеспечивает целостность виртуального соединения (передаваемых данных), аутентификацию источника инфы и дополнительную функцию по предотвращению повторной передачи пакетов

§ Encapsulating Security Payload (ESP) может обеспечить конфиденциальность (шифрование) передаваемой инфы, ограничение потока секретного трафика. Не считая этого, он может обеспечить целостность виртуального соединения (передаваемых данных), аутентификациюисточника инфы и дополнительную функцию по В виде специального программно-аппаратного обеспечения предотвращению повторной передачи пакетов (Каждый раз, когда применяется ESP, в неотклонимом порядке должен употребляться тот либо другой набор данных услуг по обеспечению безопасности)

§ Security Association (SA) обеспечивают связку алгоритмов и данных, которые предоставляют характеристики, нужные для работы AH и/либо ESP. Internet security association and key management protocol В виде специального программно-аппаратного обеспечения (ISAKMP) обеспечивает базу для аутентификации и обмена ключами, проверки подлинности ключей.

[править]Security Association

Концепция "Защищенного виртуального соединения" (SA, "Security Association") является базовой в архитектуре IPsec. SA представляет собой симплексное соединение, которое формируется для транспортирования по нему соответственного трафика. При реализации услуг безопасности формируется SA на базе использования протоколов AH В виде специального программно-аппаратного обеспечения либо ESP (или обоих сразу). SA определен в согласовании с концепцией межтерминального соединения (point-to-point) и может работать в 2-ух режимах: транспортный режим (РТР) и режим тунелирования (РТУ). Транспортный режим реализуется при SA меж 2-мя IP-узлами. В режиме туннелирования SA сформировывает IP-туннель.

Все SA хранятся В виде специального программно-аппаратного обеспечения в базе данных SADB (Security Associations Database) IPsec-модуля. Каждое SA имеет уникальный маркер, состоящий из 3-х частей:

§ индекса параметра безопасности (SPI)

§ Айпишники предназначения

§ идентификатора протокола безопасности (ESP либо AH)

IPsec-модуль, имея эти три параметра, может найти в SADB запись о определенном SA. В перечень компонент SA входят:

Поочередный номер

32-битовое значение В виде специального программно-аппаратного обеспечения, которое употребляется для формирования поля Sequence Number в заголовках АН и ESP.

Переполнение счетчика порядкового номера

Флаг, который говорит о переполнении счетчика поочередного номера.

Окно для угнетения атак проигрывания

Употребляется для определения повторной передачи пакетов. Если значение в поле Sequence Number не попадает в данный спектр, то пакет уничтожается.

Информация AH

применяемый В виде специального программно-аппаратного обеспечения метод аутентификации, нужные ключи, время жизни ключей и другие характеристики.

Информация ESP

методы шифрования и аутентификации, нужные ключи, характеристики инициализации (к примеру, IV), время жизни ключей и другие характеристики

Режим работы IPsec

туннельный либо транспортный

MTU

Наибольший размер пакета, который можно передать по виртуальному каналу без фрагментации.

Потому что защищенные виртуальные соединения В виде специального программно-аппаратного обеспечения(SA) являются симплексными, то для организации дуплексного канала, как минимум, необходимы два SA. Кроме этого, каждый протокол (ESP/AH) обязан иметь свою свою SA для каждого направления, другими словами, связка AH+ESP просит наличия 4 SA. Все эти данные размещаются в SADB.

В SADB содержатся:

§ AH: метод аутентификации.

§ AH В виде специального программно-аппаратного обеспечения: скрытый ключ для аутентификации

§ ESP: метод шифрования.

§ ESP: скрытый ключ шифрования.

§ ESP: внедрение аутентификации (да/нет).

§ Характеристики для обмена ключами

§ Ограничения маршрутизации

§ IP политика фильтрации

Кроме базы данных SADB, реализации IPsec поддерживают базу данных SPD (Security Policy Database- База данных политик безопасности). Запись в SPD состоит из набора значений полей IP-заголовка и В виде специального программно-аппаратного обеспечения полей заголовка протокола верхнего уровня. Эти поля именуются селекторами. Селекторы употребляются для фильтрации исходящих пакетов, с целью поставить каждый пакет в соответствие с определенным SA. Когда формируется пакет, сравниваются значения соответственных полей в пакете (селекторные поля) с теми, которые содержатся SPD. Находятся надлежащие SA. Потом определяется SA (в случае, если оно В виде специального программно-аппаратного обеспечения имеется) для пакета и сопряженный с ней индекс характеристик безопасности(SPI). После этого производятся операции IPsec(операции протокола AH либо ESP).

19. Безопасность транспортного уровня

Как надо из самого наименования, безопасность на транспортном уровне обес
печивает защиту инфы в коммуникационном канале меж клиентом и
службой. На этом уровне может выполняться шифрование и В виде специального программно-аппаратного обеспечения аутентификация.
Доступные виды шифрования и протоколы аутентификации определяются сте
ком каналов (привязкой).

Как минимум, безопасность на транспортном уровне гарантирует, что все дан
ные, которыми обмениваются клиент и служба, зашифрованы, потому осознать,
что находится в сообщении, могут только стороны участники. Определенный алго
ритм шифрования или определяется транспортным протоколом (HTTPS подра
зумевает SSL), или задается В виде специального программно-аппаратного обеспечения в привязке (MSMQ может использовать шифры
RC4Stream либо AES).
Кроме шифрования, безопасность на транспортном уровне может включать
аутентификацию – требуется, чтоб на шаге установления коммуникационного
канала клиент передал службе свои верительные грамоты. В качестве последних
могут выступать цифровые сертификаты, маркеры SAML, маркеры Windows либо
разделяемый секрет, к примеру, имя и пароль. Не считая В виде специального программно-аппаратного обеспечения того, на транспортном уров
не, еще до установления неопасного канала меж клиентом и службой проверя
ется подлинность самой службы. Это защищает от атаки «с человеком посереди
не» и от подлога.


v-uglichskom-rajone-vveden-osobij-protivopozharnij-rezhim-informacionnoe-agentstvo-yarnovosticom-09082012.html
v-ukazannih-dokumentah-opredelena-pravovaya-osnova-reglamentiruetsya-poryadok-organizacii-platnih-obrazovatelnih-uslug.html
v-ulan-ude-proizoshel-pozhar-v-krupnejshem-torgovom-centre-informacionnoe-agentstvo-rosbizneskonsalting-12062011.html