В этой, последней, главе книги мы рассмотрим некоторые наиболее популярные сервисы защиты передаваемой информации. Эти сервисы позволяют через публичную сеть, например Интернет, безопасно передавать информацию, обеспечивая ее аутентичность, целостность и конфиденциальность.
Наиболее простым средством для предоставления такого сервиса является технология защищенного канала, которая обеспечивает защиту трафика между двумя пользователями публичной сети, то есть в соответствии с двухточечной топологией. Такая защита осуществляется за счет комплекса средств, опирающихся на различные методы аутентификации пользователей и шифрования их трафика. В IP-сетях широко применяются две технологии защищенного канала — SSL и IPSec. Протокол SSL работает на уровне представления модели OSI, что делает его непрозрачным для приложений. Протокол IPSec является более универсальным средством, так как относится к сетевому уровню и полностью прозрачен для приложений, которые в случае использования IPSec не требуют модификации.
|
|
Более масштабным средством защиты трафика являются виртуальные частные сети (VPN). Подобная сеть является своего рода «сетью в сети», сервисом, создающим у пользователей иллюзию существования их частной сети внутри публичной сети. Одним из важнейших свойств такой «частной сети» является защищенность трафика от атак пользователей публичной сети. Сетям VPN доступна не только возможность имитации частной сети; они дают пользователю возможность задействовать собственное адресное пространство (например, частные IP-адреса, такие как адреса сети 10.0.0.0) и обеспечивать качество обслуживания, близкое к качеству выделенного канала.
Технологии, обеспечивающие безопасность данных и лежащие в основе VPN, делятся на два класса: технологии шифрования данных и технологии разделения трафика. Первый класс технологий опирается на технику защищенных каналов, применяя ее теперь уже в других масштабах, то есть обьединяя не двух пользователей, а произвольное количество клиентских сетей. Типичным представителем этого класса VPN является технология IPSec VPN.
Второй класс технологий VPN опирается на технику постоянных виртуальных каналов (PVC), позволяющую надежно отделить трафик одного клиента от трафика остальных. В сетях VPN, работающих на основе разграничения трафика, шифрование не требуется, так как принцип функционирования постоянного виртуального канала исключает возможность атаки на него клиента, подключенного к другому постоянному виртуальному каналу. Виртуальные частные сети этого класса строятся на основе технологий ATM, Frame Relay и MPLS. Технологии ATM VPN и Frame Relay VPN являются не чем иным, как другим названием стандартных сервисов постоянных виртуальных каналов для этих технологий, рассмотренных нами в главе 21. В данной главе основное внимание уделяется новому типу виртуальных частных сетей этого класса, а именно — сетям MPLS VPN, которые позволяют предоставлять расширенный набор услуг VPN.