Сеансовый уровень модели OSI

Защищенные виртуальные каналы могут быть сформированы и на сеансо­вом уровне модели OSI. Для этого применяются так называемые "посредни­ки каналов" (circuit proxy). Посредник функционирует над транспортным уровнем, шифрует и ретранслирует трафик из защищенной сети в общедос­тупную сеть Internet для каждого сокета в отдельности. При приеме выпол­няется обратная процедура. Сокет IP идентифицируется комбинацией ТСР-соединения и конкретного порта или заданным портом UDP.

Для шифрования информации на сеансовом уровне наибольшую популяр­ность получил протокол SSL/TLS (Secure Sockets Layer/ Transport Layer Security), разработанный компанией Netscape Communications. Этот протокол создает защищенный туннель между конечными точками виртуальной сети, обеспечивая взаимную аутентификацию абонентов, а также конфиденциаль­ность, подлинность и целостность циркулирующих по туннелю данных. Ядром протокола SSL/TLS является технология комплексного использования асимметричных и симметричных криптосистем компании RSA Data Security. Для аутентификации взаимодействующих сторон и криптозащиты ключа симметричного шифрования используются цифровые сертификаты открытых ключей пользователей (клиента и сервера), заверенные цифровыми подпися­ми специальных Сертификационных Центров. Поддерживаются цифровые сертификаты, соответствующие общепринятому стандарту Х.509.

С целью стандартизации процедуры взаимодействия клиент-серверных при­ложений ТСР/IP через сервер-посредник (брандмауэр) комитет IETF утвер­дил протокол под названием SOCKS, и в настоящее время пятая версия

данного протокола (SOCKS 5) применяется для стандартизованной реализа­ции посредников каналов. SOCKS поддерживает приложения, требующие контроля над направлениями информационных потоков и настройки усло­вий доступа в зависимости от атрибутов пользователя и/или информации.

В соответствии с SOCKS 5 клиентский компьютер устанавливает аутентифицированный сеанс с сервером, исполняющим роль посредника (proxy). Использование этого посредника является единственным способом связи через брандмауэр. Посредник, в свою очередь, проводит любые операции, запрашиваемые клиентом. Поскольку посреднику известно о трафике на уровне сеанса (сокета), он может осуществлять тщательный контроль, на­пример, блокировать конкретные приложения пользователей, если они не имеют необходимых полномочий.

В отличие от виртуальных сетей, защищенных на сеансовом уровне модели OSI, виртуальные сети, защищенные на канальном или сетевом уровне, обычно просто открывают или закрывают канал для всего трафика по аутентифицированному туннелю. Это может представлять проблему, если ло­кальная сеть на другом конце туннеля является неблагонадежной. Кроме того, созданные туннели канального и сетевого уровня функционируют одинаково в обоих направлениях, а виртуальные сети, защищенные на се­ансовом уровне, допускают независимое управление передачей в каждом направлении.

Виртуальные сети с посредником канала типа IPSec ориентированы на про­токол IP. Если IPSec, по существу, разграничивает защищенные виртуаль­ные каналы между разными парами взаимодействующих сторон, то прото­кол SOCKS 5 обеспечивает создание защищенных туннелей для каждого приложения и сеанса в отдельности. Аналогично протоколу IPSec и прото­колам туннелирования канального уровня, виртуальные сети сеансового уровня можно использовать с другими типами виртуальных частных сетей, поскольку данные технологии не являются взаимоисключающими.

Следует отметить, что имеются протоколы для реализации защищенного взаимодействия и на прикладном уровне модели OSI. Эти протоколы, как правило, являются дополнениями к различным протоколам прикладного Уровня. Например, протокол Secure НТТР (SHTTP) является дополнением по функциям защиты к протоколу передачи гипертекста НТТР, а протокол Secure MIME(S/MIME) — дополнением по защитным функциям к прото­колу электронной почты MIME. Прикладные протоколы защиты информа­ционного взаимодействия не относят к протоколам построения защищен­ных виртуальных сетей, так как они полностью зависят от используемых сервисов и приложений. Протоколы формирования защищенных виртуаль­ных каналов прозрачны для прикладных протоколов защиты. Соответствен­но применение приложений, реализующих, например, SHTTP или S/MIME, наряду с криптографической защитой на более низком уровне, нисколько не уменьшает, а только увеличивает уровень безопасности.