Трафика

В этой, последней, главе книги мы рассмотрим некоторые наиболее популярные сервисы за­щиты передаваемой информации. Эти сервисы позволяют через публичную сеть, например Интернет, безопасно передавать информацию, обеспечивая ее аутентичность, целостность и конфиденциальность.

Наиболее простым средством для предоставления такого сервиса является технология защи­щенного канала, которая обеспечивает защиту трафика между двумя пользователями публич­ной сети, то есть в соответствии с двухточечной топологией. Такая защита осуществляется за счет комплекса средств, опирающихся на различные методы аутентификации пользователей и шифрования их трафика. В IP-сетях широко применяются две технологии защищенного кана­ла — SSL и IPSec. Протокол SSL работает на уровне представления модели OSI, что делает его непрозрачным для приложений. Протокол IPSec является более универсальным средством, так как относится к сетевому уровню и полностью прозрачен для приложений, которые в случае ис­пользования IPSec не требуют модификации.

Более масштабным средством защиты трафика являются виртуальные частные сети (VPN). Подоб­ная сеть является своего рода «сетью в сети», сервисом, создающим у пользователей иллюзию су­ществования их частной сети внутри публичной сети. Одним из важнейших свойств такой «частной сети» является защищенность трафика от атак пользователей публичной сети. Сетям VPN доступна не только возможность имитации частной сети; они дают пользователю возможность задейство­вать собственное адресное пространство (например, частные IP-адреса, такие как адреса сети 10.0.0.0) и обеспечивать качество обслуживания, близкое к качеству выделенного канала.

Технологии, обеспечивающие безопасность данных и лежащие в основе VPN, делятся на два класса: технологии шифрования данных и технологии разделения трафика. Первый класс тех­нологий опирается на технику защищенных каналов, применяя ее теперь уже в других масшта­бах, то есть обьединяя не двух пользователей, а произвольное количество клиентских сетей. Типичным представителем этого класса VPN является технология IPSec VPN.

Второй класс технологий VPN опирается на технику постоянных виртуальных каналов (PVC), по­зволяющую надежно отделить трафик одного клиента от трафика остальных. В сетях VPN, рабо­тающих на основе разграничения трафика, шифрование не требуется, так как принцип функцио­нирования постоянного виртуального канала исключает возможность атаки на него клиента, подключенного к другому постоянному виртуальному каналу. Виртуальные частные сети этого класса строятся на основе технологий ATM, Frame Relay и MPLS. Технологии ATM VPN и Frame Relay VPN являются не чем иным, как другим названием стандартных сервисов постоянных вир­туальных каналов для этих технологий, рассмотренных нами в главе 21. В данной главе основ­ное внимание уделяется новому типу виртуальных частных сетей этого класса, а именно — се­тям MPLS VPN, которые позволяют предоставлять расширенный набор услуг VPN.