Установка и поддержка VPN туннеля
Далее рассмотрим как происходит установка и поддержка туннелей. Эти действия производятся в два этапа (фазы). На первом - два узла договариваются о методе идентификации, алгоритме шифрования, хэш алгоритме и группе Diffie Hellman. Они также идентифицируют друг друга. Всё это может пройти в результате обмена тремя нешифрованными пакетами (т.н. агрессивный режим) или через обмен шестью нешифрованными пакетами (стандартный режим - main mode). Предполагая, что операция завершилась успешно, создаётся SA первой Фазы - Phase 1 SA (также называемый IKE SA) и процесс переходит к Фазе Два.
На втором этапе генерируются данные ключей, узлы договариваются насчёт используемой политики. Этот режим, также называемый быстрым режимом (quick mode), отличается от первой фазы тем, что может установиться только после первого этапа, когда все пакеты второй фазы шифруются. Такое положение дел усложняет решение проблем в случае неполадок на второй фазе при успешном завершении первой. Правильное завершение второй фазы приводит к появлению Phase 2 SA или IPSec SA, и на этом установка туннеля считается завершённой.
Рассмотрим, в какой момент это всё происходит. Сначала на узел прибывает пакет с адресом назначения в другом домене шифрования, и узел инициирует Фазу Один с тем узлом, который отвечает за другой домен. Допустим, туннель между узлами был успешно установлен и ожидает пакетов. Однако узлам необходимо переидентифицировать друг друга и сравнить политику через определённое время. Это время известно как время жизни Phase One или IKE SA lifetime.
Узлы также должны сменить ключ для шифрования данных через другой отрезок времени, который называется временем жизни Phase Two или IPSec SA lifetime. Phase Two lifetime короче, чем у первой фазы, т.к. ключ необходимо менять чаще. Типичное время жизни Phase Two - 60 минут. Для Phase One оно равно 24 часам.
Контрольные вопросы
1. Для каких целей используется VPN?
2. Что из себя представляет VPN-туннель?
3. Что такое «IPSec»?
4. Во сколько этапов происходит установка и поддержка VPN туннеля?
5. Как происходит установка и поддержка VPN туннеля?
6. Какое типичное время жизни Phase Two?
Библиографический список
Основная литература:
1. Ярочкин В.И. Информационная безопасность: учебник для студентов высших учеб. заведений, обучающихся по гуманитарным и социально-экономическим специальностям / В. И. Ярочкин. - М.: Акад. проект, 2008. – C.184-196.
Дополнительная литература:
1. Мэйволд Э. Безопасность сетей: практическое пособие / Э. Мэйволд; [пер. с англ.] – М.: «СП ЭКОМ», 2005.
Тема 10. Безопасность беспроводных сетей
10.1 Беспроводные сети
10.2 Средства безопасности беспроводных сетей
Беспроводные сети
За последние несколько лет беспроводные сети (WLAN) получили широкое распространение во всём мире. И если ранее речь шла преимущественно об использовании беспроводных сетей в офисах и хот-спотах, то теперь они широко используются и в домашних условиях, и для развертывания мобильных офисов (в условиях командировок). Специально для домашних пользователей и небольших офисов продаются точки беспроводного доступа и беспроводные маршрутизаторы класса SOHO, а для мобильных пользователей – карманные беспроводные маршрутизаторы. Однако, принимая решение о переходе к беспроводной сети, не стоит забывать, что на сегодняшнем этапе их развития они имеют одно уязвимое место.
Безопасность беспроводных сетей, или, точнее, боязнь незащищенности беспроводных сетей, - одна из важнейших тем в современной IT-индустрии. Это основное препятствие для расширения мирового рынка беспроводных сетей, надежно засевшее в головах руководящего IT-персонала компаний. В соответствии со многими заявлениями продавцов средств защиты беспроводных сетей, сделанных на крупных конференциях и выставках, таких как 2003 Wireless Event в Лондоне, «незащищенность беспроводных сетей и связанные с ней угрозы являются результатом разработки новой прогрессивной технологии в последние несколько лет, которая направлена на обеспечение новых уровней мобильной коммуникации». История перехвата радиосигналов уходит в далекое прошлое, и первые подобные случаи имели место во время Первой Мировой войны, опередив атаки на отказ в обслуживании (DOS-атаки) более чем на полвека. Первая функционирующая беспроводная сеть была построена в 1969 году - за 4 года до появления технологии Ethernet. Это была пакетная радиосеть ALOHA, разработанная в Гавайском Университете; она привела сотрудника Xerox PARC по имени Боб Меткалф к созданию алгоритма CSMA/CD (изначально названного Alto Aloha Network), что облегчило внедрение стандартов DIX Ethernet и 802.3.