Канальный уровень модели OSI

 

Для стандартного формирования криптозащищенных туннелей на каналь­ном уровне модели OSI компанией Microsoft при поддержке компаний Ascend Communications, 3Com/Primary Access, ECI-Telematics и US Robotics был разработан протокол туннелирования PPTP (Point-to-Point Tunnelling Protocol), представляющий собой расширение протокола РРР (Point-to-Point Protocol). В протоколе PPTP не специфицируются конкретные методы ау­тентификации и шифрования. Клиенты удаленного доступа в Windows NT 4.0 и Windows 98 с Dial-Up Networking поставляются с версией шифрования DES компании RSA Data Security, получившей название "шифрование двух­точечной связи Microsoft" (Microsoft Point-to-Point Encryption - MPPE).

Канальному уровню модели OSI соответствует также протокол туннелиро­вания L2F (Layer-2 Forwarding), разработанный компанией Cisco Systems при поддержке компаний Shiva и Nothern Telecom. В данном протоколе также не специфицируются конкретные методы аутентификации и шиф­рования. В отличие от протокола PPTP протокол L2F позволяет использо­вать для удаленного доступа к провайдеру Internet не только протокол РРР, но и другие протоколы, например, SLIP. При формировании защи­щенных каналов по глобальной сети провайдерам Internet не нужно осу­ществлять конфигурацию адресов и выполнять аутентификацию. Кроме того, для переноса данных через защищенный туннель могут использо­ваться различные протоколы сетевого уровня, а не только IP, как в прото­коле PPTP. Протокол L2F стал компонентом операционной системы IOS (Internet Operating System) компании Cisco и поддерживается во всех выпускаемых ею устройствах межсетевого взаимодействия и удаленного доступа.

Протоколы PPTP и L2F были представлены в организацию Internet Engineering Task Force (IETF) и в 1996 году соответствующие комитеты ре­шили их объединить. Получившийся в результате протокол, включивший все лучшее из PPTP и L2F, был назван протоколом туннелирования второго уровня (Layer-2 Tunnelling Protocol — L2TP). Его поддерживают компании Cisco, Microsoft, 3Com, Ascend и многие другие производители. Как и пред­шествующие протоколы канального уровня, спецификация L2TP не описывает методы аутентификации и шифрования. Протокол L2TP является расширением РРР на канальном уровне и может поддерживать любые вы­сокоуровневые протоколы.

Протоколы формирования защищенного туннеля на канальном уровне не­зависимы от протоколов сетевого уровня модели OSI, по которым функ­ционируют локальные сети, входящие в состав виртуальных сетей. Они по­зволяет создавать защищенные каналы для обмена данными между удаленными компьютерами и локальными сетями, функционирующими по различным протоколам сетевого уровня — IP, IPX или NetBEUI. Пакеты этих протоколов криптографически защищаются и инкапсулируются в IP-пакеты сети Internet, которые и переносятся к месту назначения, образуя защищенные виртуальные каналы. Многопротокольность — основное пре­имущество инкапсулирующих протоколов канального уровня.

Вместе с тем формирование криптозащищенных туннелей между объеди­няемыми локальными сетями на основе протоколов канального уровня приводит к сложности конфигурирования и поддержки виртуальных кана­лов связи. Туннели на основе РРР требуют, чтобы конечные точки поддер­живали информацию о состоянии каждого канала (например, такую, как тайм-ауты), и, следовательно, не обладают хорошей масштабируемостью при необходимости иметь несколько туннелей с общими конечными точка­ми. Кроме того, протоколы формирования защищенных туннелей на ка­нальном уровне не специфицируют конкретные методы шифрования, ау­тентификации, проверки целостности каждого передаваемого пакета, а также средств управления ключами.

Исходя из вышесказанного, можно сделать вывод, что протоколы создания защищенных виртуальных каналов на канальном уровне лучше всего подхо­дят для защиты информационного взаимодействия при удаленном доступе к локальной сети. Учитывая, что в состав операционных систем Windows98/NT включена реализация протокола PPTP, этот протокол для организа­ции защищенного удаленного доступа получил наиболее широкое распро­странение. В ближайшее время ожидается переориентация средств удален­ного доступа на более совершенный протокол L2TP.

Сетевой уровень модели OSI

Спецификацией, где описаны стандартные методы для всех компонентов и функций защищенных виртуальных сетей, является протокол Internet Protocol Security (IPSec), соответствующий сетевому уровню модели OSI и вхо­дящий в состав новой версии протокола IP — IPv6. Протокол IPSec иногда еще называют протоколом туннелирования третьего уровня (Layer-3 Tunneling). IPSec предусматривает стандартные методы аутентификации пользователей или компьютеров при инициации туннеля, стандартные спо­собы шифрования конечными точками туннеля, формирования и проверки цифровой подписи, а также стандартные методы обмена и управления криптографическими ключами между конечными точками. Этот гибкий стандарт предлагает несколько способов для выполнения каждой задачи. Выбранные методы для одной задачи обычно не зависят от методов реали­зации других задач. Для функций аутентификации IPSec поддерживает циф­ровые сертификаты популярного стандарта Х.509.

Туннель IPSec между двумя локальными сетями может поддерживать мно­жество индивидуальных каналов передачи данных, в результате чего прило­жения данного типа получают преимущества с точки зрения масштабирова­ния по сравнению с технологией второго уровня. Протокол IPSec может использоваться совместно с протоколом L2TP. Совместно эти два протоко­ла обеспечивают наиболее высокий уровень гибкости при защите виртуаль­ных каналов. Дело в том, что спецификация IPSec ориентирована на прото­кол IP и, таким образом, бесполезна для трафика любых других протоколов сетевого уровня. Протокол L2TP отличается независимостью от транспорт­ного уровня, что может быть полезно в гетерогенных сетях, состоящих из IP-, IPX - и Арр1еТа1к-сегментов. IPSec стремительно завоевывает популяр­ность и станет, вероятно, доминирующим стандартом по созданию и под­держке защищенных виртуальных сетей.

Для управления криптографическими ключами на сетевом уровне модели OSI наиболее широкое распространение получили такие протоколы, как SKIP (Simple Key management for Internet Protocol) и ISAKMP (Internet Security Association and Key Management Protocol). SKIP проще в реализа­ции, но он не поддерживает переговоров по поводу алгоритмов шифрова­ния. Если получатель, использующий SKIP, не в состоянии расшифровать пакет, он уже не сможет согласовать метод шифрования с противоположной стороной. Протокол ISAKMP поддерживает такие переговоры и выбран в качестве обязательного протокола для управления ключами в IPSec для IPv6. Другими словами протокол ISAKMP является составной частью про­токола IPSec. В текущей четвертой версии протокола IP (в протоколе IPv4) может применяться как протокол ISAKMP, так и протокол SKIP.