[ Pobierz całość w formacie PDF ]
.Za szczegó³y po³¹czenia i przesy³anie danych przez Internet doodpowiedniego miejsca przeznaczenia odpowiada dostawca us³ug internetowych.Poniewa¿ dane musz¹ podró¿owaæ do miejsca przeznaczenia przez Internet,administrator VPN musi zastosowaæ odpowiednie œrodki szyfrowania danychprzesy³anych pomiêdzy dwiema sieciami.Zabezpieczy to dane przedpods³uchiwaniem i manipulacjami ze strony nieupowa¿nionych u¿ytkowników.Poniewa¿ wirtualne sieci prywatne nie u¿ywaj¹ wydzielonych linii dzier¿awionychani ³¹czy WAN, zaœ dane firmy musz¹ byæ przesy³ane przez Internet, sieci tezapewniaj¹ bezpieczeñstwo danych za pomoc¹ czterech krytycznych funkcji:Uwierzytelnianie — po otrzymaniu pakietu VPN weryfikuje, czy dane pochodz¹ zzaufanego Ÿród³a.Poufnoœæ — sieci VPN stosuj¹ ró¿ne metody szyfrowania, na przyk³ad kryptografiêz kluczem publicznym i prywatnym, aby zapobiec odczytowi i kopiowaniu danychpodczas transmisji.W kryptografii klucza prywatnego nadawca szyfruje komunikatza pomoc¹ swojego klucza prywatnego i klucza publicznego odbiorcy.Po odebraniuzaszyfrowanego komunikatu odbiorca odszyfrowuje go za pomoc¹ w³asnego kluczaprywatnego i klucza publicznego nadawcy.Integralnoœæ — VPN zapewniaj¹ dodatkowo, i¿ dane nie ulegn¹ modyfikacji podczastransmisji.W tym celu wirtualne sieci prywatne stosuj¹ funkcje mieszania, kodyuwierzytelnienia wiadomoœci i podpisy cyfrowe.Funkcje mieszania (hash functions) — funkcja mieszania generuje wartoœæmieszan¹ (hash value) pliku przed wys³aniem.Wartoœæ ta utrudnia utworzeniepliku, który odpowiada³by wartoœci mieszanej dostarczanej z nadsy³anymipakietami.Po odebraniu pakietu danych lub pliku odbiorca oblicza wartoœæmieszan¹ i porównuje j¹ z wartoœci¹ nades³an¹ przez nadawcê.Jeœli obiewartoœci nie s¹ identyczne, to dane uznaje siê za uszkodzone i odrzuca.Do przyk³adów algorytmów z mieszaniem nale¿¹ MD5, RIPE-MD-160 oraz SHA-1.Kody uwierzytelniania wiadomoœci (MAC — Message Authentication Code)— dodaj¹ klucz do funkcji mieszania.Po wygenerowaniu wartoœci mieszanejobliczany jest MAC i do³¹czany do danych.Odbiorca oblicza w³asny MACi porównuje z wys³an¹ wartoœci¹.Gdy wartoœci te nie s¹ identyczne, pakietzostaje odrzucony.Podpisy cyfrowe — nadawca „podpisuje” pakiet w³asnym kluczem prywatnym.Poodebraniu pakietu odbiorca weryfikuje popis za pomoc¹ klucza publicznegonadawcy, wys³anego przez niego razem z komunikatem.Kontrola dostêpu — VPN wymaga procesu logowania, aby zapobiec dostêpom do siecize strony nieautoryzowanych u¿ytkowników.Do uwierzytelniania u¿ytkowników ikontroli dostêpu do zasobów sieciowych mog¹ pos³u¿yæ protoko³y CHAP (ChallengeHandshake Authentication Protocol), RADIUS (Remote Authentication Dial-In UserService) oraz ¿etony generowane sprzêtowo.Zaimplementowanie VPN mo¿e przynieœæ organizacji wiele korzyœci.Donajwa¿niejszych z nich nale¿¹:Oszczêdnoœci — wirtualne sieci prywatne mog¹ korzystaæ z ró¿nych technologiii us³ug oferowanych przez dostawców us³ug sieciowych.Dziêki temu firmynie musz¹ stosowaæ kosztownych ³¹czy dzier¿awionych, banków modemówlub technologii frame relay (przekazywania ramki), aby po³¹czyæ oddaloneczêœci intranetu z g³Ã³wn¹ sieci¹ przedsiêbiorstwa.Zmniejsza to wewnêtrznezapotrzebowanie na zasoby i personel obs³ugi technicznej i równoczeœnieredukuje koszty sieci.Optymalne wykorzystanie przepustowoœci — sieci VPN nie utrzymuj¹ sta³ych ³¹czypomiêdzy punktami koñcowymi komunikacji.Po³¹czenie tworzone jest po zg³oszeniuautentycznego ¿¹dania, dlatego sieci nosz¹ nazwê wirtualnych sieci prywatnych.Po zakoñczeniu transakcji po³¹czenie jest usuwane.W wyniku zasoby sieciowezostaj¹ zwolnione dla innych po³¹czeñ i przepustowoœæ sieci jest wykorzystanado maksimum.Bezpieczeñstwo — ka¿da VPN do ochrony przesy³anych danych przed manipulacj¹stosuje zaawansowane metody szyfrowania, na przyk³ad kryptografiê z kluczempublicznym i prywatnym
[ Pobierz całość w formacie PDF ]