ვირტუალური დაცული ქსელის (VPN) განთავსება RRAS დახმარებით

ვირტუალური დაცული ქსელის (VPN) განთავსება RRAS დახმარებით

დაუცველ ქსელებში გადასაცემი ინფორმაციის დაცვის გავრცელებული მეთოდია ვირტუალური დაცული ქსელის შექმნა (Virtual Private Network – VPN), რომელიც არსებითად არის კავშირი ორ კერძო კვანძს ან ქსელში შორის. ის ასრულებს ტრაფიკის დაცვასა და შიფრაციას ორ მხარეს შორის, რათა აკრძალულ იქნას მისი არასანქცირებული „მოსმენა“. მომხმარებლის გადმოსახედიდან VPN ჩანს როგორც ჩვეულებრივი კავშირი ქსელის სხვადასხვა სეგმენტს შორის – სწორედ აქედან მოდის ტერმინი ვირტუალური დაცული ქსელი.
VPN-ით გადასაცემი მონაცემები ენკაპსულირდება, ანუ მონაცემებს თავსართში ემატება ველი, რომელიც მიუთითებს მონაცემთა დანიშნულების ადგილს. შემდეგ პაკეტში არსებული ინფორმაცია იშიფრება, მისი შემცველობის დასაცავად. ყოველივე ამის შემდეგ დაშიფრული პაკეტები იგზავნება სერვერის ქსელში ე.წ VPN ტუნელის დახმარებით.
დაშორებული წვდომის
(Remote Access) როლი Windows Server 2012-ში უზრუნველყოფს VPN ქსელის შექმნას და ინტეგრირდება NPS როლთანკლიენტის ეფექტურობის შესამოწმებლად, VPN სეანსის შექმნამდე.ტუნელირების პროტოკოლები
ტუნელირების პროტოკოლი – ეს არის სპეციალური ტექნოლოგია, რომელიც განსაზღვრავს მონაცემების ენკაპსულაციის, გადაცემის და დეკაპსულაციის საშუალებებს, მათი
VPN კავშირით გადაცემის დროს. არსებობს ტუნელირების პროტოკოლების სხვადასხვა რეალიზაცია, რომლებიც შეესაბამებიან ღია სისტემების ურთიერთქმედების (Open System Interconnection – OSI) მოდელის სხვადასხვა დონეს. OSI მოდელი შედგება შვიდი დონისაგან და VPN ტუნელირების პროტოკოლები მონაცემთა გაცვლისთვის იყენებენ მეორე და მესამე დონეებს. საუკეთესო უსაფრთხო პროტოკოლები უზრუნველყოფენ:
 მონაცემთა კონფიდენციალურობას (data confidentiality) – პროტოკოლი შიფრავს მონაცემებს ისე, რომ მესამე პირს არ შეეძლოს მისი წაკითხვა საერთოწვდომის ქსელში გადაცემისას;
 მონაცემთა მთლიანობას (data integrity) – ამ ფუნქციის პროტოკოლების გამოყენებისას შევიტყობთ, თუ მესამე პირი შეცვლის მონაცემებს ქსელში გადაცემისას.
 ხელახალი გადაცემისაგან დაცვას (replay protection) – გარანტიას იძლევა, რომ ერთი და იგივე მონაცემები გადაცემული იქნება მხოლოდ ერთხელ. Replay Attack შეტევისას ბოროტმოქმედი იპარავს გადაცემულ მონაცემებს და შემდეგ ხელახლა აგზავნის.
 მონაცემთა წყაროს ნამდვილობის შემოწმებას (data origin authentication) – ინფორმაციის გამგზავნი და მიმღები უნდა იყვნენ დარწმუნებული გადაცემული და მიღებული მონაცემების წარმომავლობაზე.
Windows Server 2012 მხარს უჭერს VPN-ის შემდეგ პროტოკოლებს (პროტოკოლები დალაგებულია უსაფრთხოების ზრდადობის მიხედვით):
PPTP (Point-to-Point Tunneling Protocol) VPN ქსელი PPTP პროტოკოლით, VPN-ის ყველაზე დაბალი უსაფრთხოების ფორმაა. რამეთუ ისინი არ საჭიროებენ ინფრასტრუქტურასთან საერთოწვდომის გასაღებს (PKI – public-key infrastructure), რომლებიც ასევე ნაკლებად გავრცელებულნი არიან. PPTP შეერთებაში გამოიყენება ნამდვილობის შესამოწმებელი პროტოკოლები: MS-CHAP, MS-CHAPv2, EAP და PEAP. მონაცემთა შიფრაციისათვის გამოიყენება MPPE (Microsoft Point-to-Point Encryption) პროტოკოლი. PPTP შეერთება უზრუნველყოფს მონაცემთა კონფიდენციალურობას, მაგრამ არ იძლევა მათი მთლიანობისა და წყაროს ნამდვილობის შემოწმების გარანტიას. ზოგიერთი მოძველებული NAT-მოწყობილობა მხარს არ უჭერს PPTP-ს.
L2TP/IPsec (Layer 2 Tunneling Protocol/ Internet Protocol Security) პროტოკოლი უზრუნველყოფს მონაცემთა წყაროს ნამდვილობის შემოწმებას, მთლიანობას, განმეორებითი გაგზავნისაგან დაცვას და კონფიდენციალურობას თითოეული პაკეტისთვის ცალ-ცალკე. L2TP/IPsec-ში გამოიყენება ციფრული სერტიფიკატები, ამიტომ მას სჭირდება წვდომა სერტიფიკატების მომსახურების ინფრასტრუქტურასთან. L2TP/IPsec პროტოკოლს მხარს უჭერს სხვა მწარმოებლის უმრავლესი VPN-პროდუქტი. L2TP/IPsec-ის გამოყენება შეუძლია ყველა NAT მოწყობილობას, მხოლოდ იმ შემთხვევაში თუ კლიენტი და სერვერი მხარს უჭერს IPsec NAT Traversal (NAT-T)-ს, მაგალითად, Windows 7, Windows 8.1, Windows Server 2003, Windows Server 2008, Windows Server 2012. L2TP შეიძლება მოიმართოს ნამდვილობის შემოწმებლად, სერტიფიკატების ან საერთო გასაღების საფუძველზე.
SSTP – VPN ტუნელები SSTP პროტოკოლით იყენებენ 443 პორტს. ეს ნიშნავს იმას, რომ VPN ტრაფიკ SSTP-ს შეუძლია გაიაროს პრაქტიკულად ყველა ფაიერვოლი, ინტერნეტთან დაშვებული წვდომით, განსახვავებით PPTP, L2TP/IPsec და IKEv2 (Internet Key Exchange version 2) პროტოკოლებისაგან. SSTP აგზავნის ტრაფიკს HTTPS პროტოკოლის SSL-არხით. ის მხარს უჭერს მონაცემთა წყაროს ნამდვილობის შემოწმებას, მთლიანობას, განმეორებითი გადაგზავნისაგან დაცვას და კონფიდენციალურობას. არასდროს გამოიყენოთ SSTP პროტოკოლი Web-Proxy-სერვერის გავლით, რომელიც იყენებს ნამდვილობის შემოწმებას.
 IKEv2 – ეს არის პროტოკოლი, რომელსაც მხარს არ უჭერენ Windows-ის ძველი ვერსიები. ის მუშაობს IPv6 და VPN Reconnect ფუნქციებით, მხარს უჭერს EAP (Extensible Authentication Protocol) პროტოკოლს და კომპიუტერის სერტიფიკატებს კლიენტის მხრიდან ნამდვილობის შესამოწმებლად. აქ შედიან PEAP, EAP-MSCHAP v2, სმარტ-ბარათები და სხვა სერტიფიკატები.
IKEv2 მხარს არ უჭერს ნამდვილობის შემმოწმებელ POP, CHAP ან MS-CHAPv2 (EAP-ის გარეშე) პროტოკოლებს. IKEv2 უზრუნველყოფს მონაცემთა წყაროს ნამდვილობის შემოწმებას, მთლიანობას, ხელახალი გადაგზავნისაგან დაცვას და კონფიდენციალურობას. IKEv2 იყენებს UDP პორტ 500-ს.

ავტორი: ვ.ოთხოზორია, დ.გელუა.

Facebook (0)