Технологія VPN

АНОТАЦІЯ

Сучасний світ практично не можливо уявити без використання ресурсів локальних та глобальних мереж. Ізольований комп'ютер має дуже обмежену функціональність. Справа навіть не в тім, що користувачі позбавлені можливості доступу до великих інформаційних ресурсів, розташованим на віддалених системах. Ізольована система не має необхідної в даний час гнучкості і масштабності.

Можливість обміну даними між розосередженими системами відкрила нові обрії для побудови розподілених ресурсів, їхнього адміністрування і наповнення, починаючи від розподіленого збереження інформації і закінчуючи мережним обчислювальним середовищем.

Тому поняття мережі стало повсякденним та використовуваним. Становлення фахівця у даній галузі можливе тільки через глибоке розуміння принципів роботи технологій побудови мереж та протоколів передачі даних. Отже, курсовий проект присвячений питанням побудові комп’ютерної мережі. Тут розглянуті основні принципи побудови локальних та глобальних мереж.

ІНДИВІДУАЛЬНЕ ЗАВДАННЯ

ЗМІСТ

ІНДИВІДУАЛЬНЕ ЗАВДАННЯ.. 3

ВСТУП.. 6

1 Технология VPN.. 7

1.1 Технологія захисту інформації на базі захищених віртуальних приватних мереж 7

1.2 Фунції і компоненти мережі 7

1.3 Туннелювання. 9

1.4 Засоби VPN.. 11

1.5 Варіанти побудови захищених каналів VРN.. 13

1.6 Сервіси безпеки мережі 15

1.7 Автентифікація абонентів 16

1.8 Забезпечення конфіденційності, цілісності іавтентичності інформації 17

1.9 Авторизація і управління доступом 18

2. ПРОЕКТУВАННЯ ТА НАЛАШТУВАННЯ МЕРЕЖІ 19

2.1 Проектування мережі центрального офісу (LAN 1) 19

2.1.1 Завдання. 19

2.1.2 Розрахунок мережі центрального офісу. 20

2.1.3 Створення схеми. 21

2.1.4 Конфігурування. 22

2.2 Проектування мережі віддаленого офісу (LAN 2) 25

2.2.1 Завдання. 25

2.2.2 Розрахунки адрес та масок. 25

2.2.3 Моделювання та конфігурування схеми. 26

2.3 Проектування мережі диспетчерського центру (LAN 3) 30

2.3.1 Завдання. 30

2.4 Організація взаємодії локальних мереж.. 35

2.4.1 Аналіз завдання. 36

ВИСНОВКИ.. 40

ЛІТЕРАТУРА.. 41

ДОДАТКИ.. 42

Додаток А – Технічне завдання

Додаток Б – Схема готової мережі

Додаток В– Конфігураційні файли ключових маршрутизатори

ВСТУП

В сучасному світі неможливо обійтися без комп’ютерних мереж, річ в тім що навіть для швидкого доступу до даних потрібна мережа. Будь-яка комп'ютерна мережа характеризується своєю архітектурою, яка визначається її топологією, протоколами, інтерфейсами, мереживими технічними і програм­ними засобами.

Кожна із складових архітектури комп'ютерної мережі характеризує її окремі властивості, і тільки їх сукупність характеризує всю мережу загалом.

Курсовий проект поділено на дві частини: теоретичну та практичну. В першій частині розглядається питання мережевих операційних систем. Основним завдання другої частини курсового проекту є побудова працюючої мережі в середовищі Cisco Packed Tracer. Програма повністю відтворює інтерфейс реального обладнання компанії Cisco, та дозволяє побудувати макет великої мережі.

Після роздачі IP-адрес необхідно налаштувати маршрутизацію між ними, для того щоб передавати дані між мережами. Для центрального офісу використовувалась статична маршрутизація, маршрутизація віддаленого офісу побудована на основі алгоритму динамічної маршрутизації OSPF.

Усі мережі об’єднуються за допомогою SERIAL з’єднань. Це канал який орендується у провайдера та використовується для з’єднання віддалених мереж.

Технологія VPN

1.1 Технологія захисту інформації на базі захищених віртуальних приватних мереж. Концепція побудови захищених віртуальних приватних мереж - VРN

У основі концепції побудови захищених віртуальних приватних

мереж - VPN лежить достатньо проста ідея: якщо в глобальній мережі є два вузли, які хочуть обмінятися інформацією, то для забезпечення конфіденційності і цілісності інформації, що передається по відкритих мережах, між ними необхідно побудувати віртуальний тунель, доступ до якого повинен бути надзвичайно утруднений всім можливим активним і пасивним зовнішнім спостерігачам. Термін «віртуальний» вказує на те, що з'єднання між двома вузлами мережі не є постійним (жорстким) і існує тільки під час проходження трафіка по мережі.

Переваги, отримувані компанією при формуванні таких віртуальних тунелів, полягають, перш за все, в значній економії фінансових коштів, оскільки в даній ситуації компанія може відмовитися від побудови або оренди дорогих виділених каналів зв'язку для створення власних intranet/extranet мереж і використати для цього дешеві Internet- канали, надійність і швидкість передачі яких в більшості своїй сьогодні вже не поступаються виділеним лініям. Очевидна економічна ефективність від впровадження VPN-технології активно стимулює підприємства до швидкого її впровадження. Про це, зокрема, свідчать авторитетні західні аналітики. Так, наприклад, відомий аналітик - компанія Gartner Group вважає, що в 2004 році більше 90% компаній, що використовують Internet в корпоративних цілях, перейдуть на VPN.

1.2 Функції і компоненти мережі

Захищеною віртуальною мережею VPN називають об'єднання локальних мереж і окремих комп'ютерів через відкрите зовнішнє середовище передачі інформації в єдину віртуальну корпоративну мережу, що забезпечує безпеку циркулюючих даних.

При підключенні корпоративної локальної мережі до відкритої мережі виникають загрози безпеки двох основних типів:

• НСД до корпоративних даних в процесі їх передачі по відкритій мережі;

• НСД до внутрішніх ресурсів корпоративної локальної мережі, одержуваний зловмисником в результаті несанкціонованого входу в цю мережу.

Забезпечення безпеки інформаційної взаємодії локальних мереж і окремих комп'ютерів через відкриті мережі, зокрема через Internet, можливе при ефективному рішенні задач захисту:

• інформації в процесі її передачі по відкритих каналах зв'язку;

• підключених до відкритих каналів зв'язку локальних мереж і

окремих комп'ютерів від несанкціонованих дій з боку зовнішнього середовища.

• Захист інформації в процесі передачі по відкритих каналах зв'язку заснований на виконанні наступних основних функцій:

• автентифікації взаємодіючих сторін;

• криптографічному закритті (шифруванні) даних, що передаються;

• перевірці достовірності і цілісності доставленої інформації.

• Для цих функцій характерний взаємозв'язок один з одним. Їх реалізація заснована на використовуванні криптографічних методів захисту інформації, ефективність якої забезпечується за рахунок сумісного використовування симетричних і асиметричних криптографічних систем.

• Для захисту локальних мереж і окремих комп'ютерів від несанкціонованих дій з боку зовнішнього середовища звичайно використовують МЕ (брандмауери), що підтримують безпеку інформаційної взаємодії шляхом фільтрації двостороннього потоку повідомлень, а також виконанні функцій посередництва при обміні інформацією. МЕ розташовують на стику між локальною і відкритою мережею. Для захисту окремого видаленого комп'ютера, підключеного до відкритої мережі, програмне забезпечення МЕ встановлюють па цьому ж комп'ютері, і такий МЕ називається персональним.

• Віртуальна приватна мережа VPN формується на основі каналів зв'язку відкритої мережі. Відкрите зовнішнє середовище передачі інформації можна розділити на середовище швидкісної передачі даних, для якого використовується мережа Internet, і повільніші загальнодоступні канали зв'язку, для яких звичайно застосовуються канали телефонної мережі. Ефективність віртуальної приватної мережі УРМ визначається ступенем захищеності інформації, циркулюючої по відкритих каналах зв'язку.

• Захист інформації в процесі її передачі по відкритих каналах заснований на побудові захищених віртуальних каналів зв'язку, званих тунелями VPN.

1.3 Тунелювання

• Туннелювання широко використовується для безпечної передачі даних через відкриті мережі. За допомогою цієї методики пакети даних передаються через загальнодоступну мережу як по звичному двоточковому з'єднанню. Між кожною парою «відправник-одержувач даних» встановлюється своєрідний тунель - безпечне логічне з'єднання, що дозволяє інкапсулювати дані одного протоколу в пакети іншого. Суть тунелювання полягає в тому, щоб «упакувати» порцію даних (разом із службовими полями) в новий «конверт». При цьому пакет протоколу нижчого рівня поміщається в полі даних пакету протоколу вищого або такого ж рівня. Слід зазначити, що тунелювання саме по собі не захищає дані від несанкціонованого доступу або спотворення, але забезпечує можливість повного криптографічного захисту початкових пакетів, що інкапсулюються.

• Щоб забезпечити конфіденційність передавання даних, відправник шифрує початкові пакети, упаковує їх в зовнішній пакет з новим ІР-заголовком і відправляє по транзитній мережі (рис. 1.1).

Рисунок 1.1 - Приклад пакету, підготовленого для тунелювання

Особливість тунелювання полягає у тому, що ця технологія дозволяє зашифрувати початковий пакет повністю, разом із заголовком, а не тільки його поле даних. Це важливо, оскільки деякі поля заголовка містять інформацію, яка може бути використана зловмисником. Зокрема, із заголовка початкового пакету можна витягнути відомості про внутрішню структуру мережі - дані про кількість підмереж і вузлів і їх ІР-адреси. Зловмисник одержує шанс використовувати таку інформацію при організації атак на корпоративну мережу.

Початковий пакет із зашифрованим заголовком не можна використовувати для організації транспортування по мережі. Тому для захисту початкового пакету застосовують його інкапсуляцію і тунелювання. Початковий пакет зашифровують повністю разом із заголовком, а потім поміщають в інший зовнішній пакет з відкритим заголовком. Для транспортування даних по відкритій мережі використовуються відкриті поля заголовка зовнішнього пакету.

Після прибуття в кінцеву точку захищеного каналу із зовнішнього пакету витягують і розшифровують внутрішній початковий пакет і використовують його відновлений заголовок для подальшої передачі по внутрішній мережі (рис. 1.2).

Тунелювання може бути використане для забезпечення не тільки конфіденційності вмісту пакету, але і його цілісності і автентичності; при цьому електронний цифровий підпис можна розповсюдити на всі поля пакету.

Рисунок 1.2 - Схема віртуального тунелю

На додаток до приховання мережевої структури між двома точками, тунелювання може також запобігти можливому конфлікту адрес між двома локальними мережами. При створенні локальної мережі, не пов'язаної з Internet, компанія може використовувати будь- які ІР-адреси для своїх мережевих пристроїв і комп'ютерів. При об'єднанні раніше ізольованих мереж ці адреси можуть почати конфліктувати один з одним і з адресами, які вже використовуються в Internet.

Інкапсуляція пакетів вирішує подібну проблему, дозволяючи приховати первинні адреси і додати нові, унікальні в просторі ІР-адрес Internet, - потім вони використовуються для пересилки даних по мережах, що розділяються. Сюди ж входить задача настройки ІР-адреси і інших параметрів для мобільних користувачів, що підключаються до локальної мережі.

Слід зазначити, що сам механізм тунелювання не залежить від того, з якою метою він застосовується. Тунелювання може використовуватися не тільки для забезпечення конфіденційності і цілісності всієї порції даних, що передається, але і для організації переходу між мережами з різними протоколами (наприклад, ІРv4 і ІРv6). Тунелювання дозволяє організувати передачу пакетів одного протоколу в логічному середовищі, що використовує інший протокол. В результаті з'являється можливість розв'язати проблеми взаємодії декількох різнотипних мереж, починаючи з необхідності забезпечення цілісності і конфіденційності даних, що передаються, і закінчуючи подоланням невідповідностей зовнішніх протоколів або схем адресації.

Реалізацію механізму тунелювання можна представити як результат роботи протоколів трьох типів: протоколу-«пасажиру», несучого протоколу і протоколу тунелювання. Наприклад, як протокол-«пассажир» може бути використаний транспортний протокол ІРХ, що переносить дані в локальних мережах філіалів одного підприємства. Найпоширенішим варіантом несучого протоколу є протокол ІР мережі Internet. Як протоколи тунелювання можна використовувати протоколи канального рівня РРТР і L2ТР, а також протокол мережевого рівня ІРSес.

1.4 Засоби VРN

Згідно концепції віртуальної захищеної мережі, логічна структура корпоративної мережі формується тільки з мережевих пристроїв підприємства, незалежно від фізичної структури основної мережі (наприклад, Internet).

Такі пристрої, як маршрутизатори і перемикачі, приховані від пристроїв і користувачів корпоративної мережі. Приховання інфраструктури Internet від VPN- додатків стає можливим завдяки тунелюванню.

Захищена віртуальна мережа УРМ повинна включати засоби запобігання НСД до внутрішніх ресурсів корпоративної локальної мережі і до корпоративних даних, що передаються по відкритій мережі. Звідси витікає, що до засобів VPN може бути віднесений вельми широкий круг пристроїв захисту: маршрутизатор (router) з вбудованими можливостями фільтрації пакетів, proxy-сервер, багатофункціональний МЕ, апаратний і програмний шифратори трафіку, що передається.

Засоби VPN надзвичайно різноманітні. Вони можуть розрізнятися один від одного по багатьох характеристиках:

• точки розміщення VPN-пристроїв;

• тип платформи, на якій ці засоби працюють;

• набір функціональних можливостей;

• вживані протоколи автентифікації і алгоритми шифрування.

Конфігурація і характеристики віртуальної приватної мережі багато в чому

визначаються типом вживаних VPN-пристроїв. По технічній реалізації розрізняють наступні основні різновиди:

• окреме програмне рішення, яке доповнює стандартну операційну систему функціями VPN;

• окремий апаратний пристрій на основі спеціалізованої ОС реального часу, що має два або більше мережевих інтерфейсів і апаратну криптографічну підтримку;

• засоби VPN, вбудовані в маршрутизатор або комутатор;

• розширення МЕ за рахунок додаткових функцій захищеного каналу.

Відомі також комбіновані VPN-пристрої, які включають функції VPN, а також

функції маршрутизатора, МЕ і засобу управління пропускною спроможністю.

VPN-пристрої можуть виконувати у віртуальних приватних мережах роль шлюзу безпеки або клієнта.

Шлюз безпеки VРN (security gateway) - це мережевий пристрій, що підключається до двох мереж, яке виконує функції шифрування і автентифікації для численних хостів позаду нього.

Розміщення шлюзу безпеки VPN виконується так, щоб через нього проходив весь трафік, призначений для внутрішньої корпоративної мережі. Мережеве з'єднання шлюзу VPN прозоре для користувачів позаду шлюзу; воно представляється ним виділеною лінією, хоча насправді прокладається через відкриту мережу з комутацією пакетів. Адреса шлюзу безпеки VPN указується як зовнішня адреса вхідного тунельованого пакету, а внутрішня адреса пакету є адресою конкретного хоста позаду шлюзу.

Шлюз безпеки VPN може бути реалізований у вигляді окремого програмного рішення, окремого апаратного пристрою, а також у вигляді маршрутизатора або МЕ, доповнених функціями VPN.

Клієнт VРN є програмним або програмно-апаратним комплексом, виконуваним звично на базі персонального комп'ютера. Його мережеве програмне забезпечення модифіковане для виконання шифрування і автентифікації трафіку, яким цей пристрій обмінюється з шлюзами VPN або іншими VPN-клієнтами, Через вартісні обмеження реалізація VPN-клієнта звичайно є програмним рішенням, що доповнює стандартну операційну систему – Windows 98/2000 або UNIX.

Тунелі VРN можуть створюватися для різних типів кінцевих користувачів - або це локальна мережа LAN (local aren network) з шлюзом безпеки, або окремі комп'ютери

видалених і мобільних користувачів. Для створення віртуальної приватної мережі крупного підприємства потрібні як VPN-шлюзи, так і VPN-клієнти. VPN-шлюзи доцільно використовувати для захисту локальних мереж підприємства, а VPN-клієнти використовують для захисту видалених і

мобільних користувачів, яким вимагається встановлювати з'єднання з корпоративною мережею через Internet.

1.5 Варіанти побудови захищених каналів VРN

Безпеку інформаційного обміну необхідно забезпечувати як у разі об'єднання локальних мереж, так і у разі доступу до локальних мереж видалених або мобільних користувачів. При проектуванні VPN звичайно розглядаються дві основні схеми (рис. 1.3):

· захищений віртуальний канал між локальними мережами (“мережа-мережа”);

· захищений віртуальний канал між вузлом і локальною мережею (“користувач-мережа”).

Рисунок 1.3 - Тунель типу “мережа-мережа” та “користувач-мережа”

Перша схема з'єднання дозволяє замінити дорогі виділені лінії між окремими офісами і створити постійно доступні захищені канали між ними. В цьому випадку шлюз безпеки служить інтерфейсом між тунелем і локальною мережею; користувачі локальних мереж використовують тунель для спілкування один з одним. Багато компаній використовують даний вигляд VPN як заміну або доповнення до наявних з'єднань глобальної мережі, таких як Frame Relay.

Друга схема захищеного каналу VPN призначена для встановлення з'єднань з видаленими або мобільними користувачами. Створення тунелю ініціює клієнт (видалений користувач). Для зв'язку з шлюзом, що захищає видалену мережу, він запускає на своєму комп'ютері спеціальне клієнтське програмне забезпечення. Цей вигляд VPN замінює собою комутовані з'єднання і може застосовуватися разом з традиційними методами видаленого доступу.

Існує ряд варіантів схем захищених віртуальних каналів. У принципі будь-який з двох вузлів віртуальної корпоративної мережі, між якими формується захищений віртуальний канал, може належати кінцевій або проміжній точці потоку повідомлень, що захищається. З погляду забезпечення інформаційної безпеки кращим є варіант, при якому кінцеві точки захищеного тунелю співпадають з кінцевими точками потоку повідомлень, що захищається. В цьому випадку забезпечується захищеність каналу уздовж всього шляху проходження пакетів повідомлень.

Проте такий варіант веде до децентралізації управління і надмірності витрат ресурсів. Необхідна установка засобів створення УРМ на кожен клієнтський комп'ютер локальної мережі. Це ускладнює централізоване управління доступом до комп'ютерних ресурсів і не завжди виправдане економічно. Окреме адміністрування кожного клієнтського комп'ютера з метою конфігурації в ньому засобів захисту - достатньо трудомістка процедура у великій мережі.

Якщо усередині локальної мережі, що входить у віртуальну, не потрібен захист трафіку, то як кінцева точка захищеного тунелю слід вибирати МЕ або прикордонний маршрутизатор цієї локальної мережі. Якщо ж потік повідомлень усередині локальної мережі повинен бути захищений, то як кінцева точка тунелю в даній мережі повинен виступати комп'ютер, який бере участь в захищеній взаємодії. При доступі видаленого користувача до локальної мережі його комп'ютер повинен бути кінцевою точкою захищеного віртуального каналу.

При об'єднанні локальних мереж тунель формується тільки між прикордонними провайдерами Internet або маршрутизаторами (МЕ) локальної мережі. При видаленому доступі до локальної мережі тунель створюється між сервером видаленого доступу провайдера Internet, а також прикордонним провайдером Internet або маршрутизатором (МЕ) локальної мережі.

Побудовані по даному варіанту віртуальні корпоративні мережі володіють хорошою масштабованістю і керованістю. Сформовані захищені тунелі повністю прозорі для клієнтських комп'ютерів і серверів локальної мережі, що входить в таку віртуальну мережу. Програмне забезпечення цих вузлів залишається без змін.

Існуюча мережева інфраструктура корпорації може бути підготовлена до використовування VPN як за допомогою програмного, так і за допомогою апаратного забезпечення.

1.6 Сервіси безпеки мережі

Важливе значення при побудові захищеної віртуальної мережі VPN має задача забезпечення інформаційної безпеки. Згідно загальноприйнятому визначенню, під безпекою даних розуміють їх конфіденційність, цілісність і доступність. Стосовно задач VPN критерії безпеки можуть бути визначені таким чином:

• конфіденційність - гарантія того, що в процесі передачі по захищених каналах VPN дані можуть бути відомі тільки легальним відправнику і одержувачу;

• цілісність - гарантія збереження даних, що передаються, під час проходження по захищеному каналу VPN. Будь-які спроби зміни, модифікації, руйнування або створення нових даних будуть знайдені і стануть відомі легальним користувачам;

• доступність - гарантія того, що засоби, що виконують функції VPN, постійно доступні легальним користувачам. Доступність засобів VPN є комплексним показником, який залежить від ряду

чинників: надійності реалізації, якості обслуговування і ступеня захищеності самого засобу від зовнішніх атак.

Конфіденційність забезпечується за допомогою різних методів і алгоритмів симетричного і асиметричного шифрування. Цілісність даних звичайно досягається за допомогою різних варіантів технології електронного підпису, заснованих на симетричних

і асиметричних методах шифрування і односторонніх функціях.

Автентифікація здійснюється на основі багаторазових і одноразових паролів, цифрових сертифікатів, смарт-карт, протоколів строгої автентифікації і забезпечує встановлення VPN-з'єднання тільки між легальними користувачами, запобігаючи доступу до засобів VPN небажаних осіб.

Авторизація має на увазі надання абонентам, що вже довели свою легальність (автентичність), певних видів обслуговування, зокрема різних способів шифрування їх трафіку. Авторизація і управління доступом часто реалізуються одними і тими ж засобами.

Для забезпечення безпеки даних, що передаються у віртуальних приватних мережах повинні бути вирішені наступні основні задачі мережевої безпеки:

• взаємна автентифікація абонентів при встановленні з'єднання;

• забезпечення конфіденційності, цілісності і автентичності інформації, що передається;

• авторизація і управління доступом.

1.7 Автентифікація абонентів

Процедура автентифікації (встановлення достовірності) дозволяє вхід легальним користувачам і запобігає доступу до мережі небажаних осіб. Автентифікацію слід відрізняти від ідентифікації. Суть останньої полягає в повідомленні користувачем системі свого ідентифікатора, тоді як автентифікація - це процедура доказу користувачем того, що він саме той, ким себе оголошує.

Сучасні засоби ідентифікації і автентифікації повинні задовольняти двом умовам:

• підтримувати принцип єдиного входу в мережу;

• бути стійкими до мережевих загроз (пасивному і активному прослуховуванню мережі).

Принцип єдиного входу в мережу заснований на тому, що користувач здійснює один логічний вхід в мережу і після успішного проходження автентифікації одержує деякий набір дозволів по доступу до мережевих ресурсів на весь час роботи в мережі. Якщо в корпоративній мережі багато інформаційних сервісів, що допускають незалежний обіг, то багатократна ідентифікація і автентифікація стає дуже обтяжливими. Єдиний вхід в мережу - це в першу чергу вимога зручності для користувачів. На жаль, поки він не став загальною нормою.

Другу вимогу можна реалізувати, використовуючи криптографічні методи. В даний час загальноприйнятими є підходи, засновані на службі каталогів з сертифікатами в стандарті Х.509 або системі Kerberos.

Процедурі автентифікації можуть піддаватися не тільки користувачі, але і різні додатки, пристрої і дані. Наприклад, користувач, що звертається із запитом до корпоративного серверу і доводить йому свою достовірність, повинен сам переконатися, що веде діалог саме з необхідним сервером. Інакше кажучи, клієнт і сервер повинні пройти процедуру взаємної автентифікації.

1.8 Забезпечення конфіденційності, цілісності і автентичності інформації

Задача забезпечення конфіденційності інформації полягає в захисті даних, що передаються, від несанкціонованого читання і копіювання. Основним засобом забезпечення конфіденційності інформації є шифрування. Слід зазначити, що шифрування

це криптографічний базис, який лежить в основі всіх сервісів інформаційної

безпеки (система автентифікації або авторизації, засіб створення захищеного каналу, спосіб безпечного зберігання даних).

Забезпечення цілісності даних, що передаються, досягається за рахунок перевірки того, що дані в процесі передачі не були спотворені зловмисником або через помилки передачі в мережі. Звичайно контроль цілісності виконується прозорим для додатків чином як частина загальної протокольної обробки.

Автентифікація даних означає доказ їх цілісності, а також того, що вони поступили від конкретної людини, яка оголосила про це. Для здійснення автентифікації даних звичайно використовується криптографічний механізм електронного цифрового підпису.

Необхідно звернути увагу на те, що у комп'ютерної криптографії дві сторони - власне криптографічна і інтерфейсна, що забезпечує сполучення з іншими частинами інформаційної системи. Стандартизація інтерфейсом і їх функціональна різноманітність дозволить розробляти криптографічні компоненти, які можна було б вбудовувати в існуючі і перспективні конфігурації VPN.

1.9 Авторизація і управління доступом

Система авторизації має справу з легальними користувачами, які успішно пройшли процедуру автентифікації. Мета системи авторизації полягає в тому, щоб надати конкретному легальному користувачу ті види доступу до мережевих ресурсів, які були визначені для нього адміністратором системи.

Система авторизації надає легальним користувачам не тільки певні права доступу до каталогів, файлів і принтерів, але і регулює доступ до засобів шифрування пакетів, формування цифрового підпису і певним VPN-пристроям.

Процедури авторизації реалізуються програмними засобами, вбудованими в операційну систему або в додаток. При побудові програмних засобів авторизації застосовуються два підходи:

• централізована схема авторизації;

• децентралізована схема авторизації.

Основне призначення централізованої систем авторизації- реалізувати принцип єдиного входу. Управління процесом надання ресурсів користувачу здійснюється сервером. Централізований підхід до процесу авторизації реалізований в системах Kerberos, RADIUS I TAGACS.

При децентралізованому підході до процесу авторизації кожна робоча станція оснащується засобами захисту. В цьому випадку доступ до кожного додатку повинен контролюватися засобами захисту того операційного середовища, в якому працює даний додаток. Адміністратору мережі належить контролювати роботу засобів безпеки, використовуваних всіма типами додатків. При видаленні або додаванні нових користувачів йому доводиться конфігурувати доступ до кожної програми або системи.

У великих мережах звичайно застосовується комбінований підхід в наданні легальним користувачам прав доступу до мережевих ресурсів. Сервер видаленого доступу обмежує доступ користувачів до укрупнених елементів мережі - підмережам, сегментам мережі або корпоративним серверам. Кожен окремий сервер мережі здійснює обмеження доступу користувача до своїх внутрішніх ресурсів - каталогів, додатків або принтерів.