под защитой криптотуннеля

ANDREY MATVEEV

Спецвыпуск: Хакер, номер #072, стр. 072-024-1

(ANDRUSHOCK@REAL.XAKEP.RU)

ЗАЩИТА СЕТЕВОГО ТРАФИКА ПРОВОДНЫХ И БЕСПРОВОДНЫХ WINXP-КЛИЕНТОВ

ПОД АББРЕВИАТУРОЙ VPN СКРЫВАЕТСЯ СЛОВОСОЧЕТАНИЕ VIRTUAL PRIVATE NETWORK — ВИРТУАЛЬНАЯ ЧАСТНАЯ СЕТЬ. ЭТО ТЕРРИТОРИАЛЬНО-РАСПРЕДЕЛЕННАЯ СЕТЬ ПЕРЕДАЧИ ДАННЫХ, СОСТОЯЩАЯ ИЗ IP-ПОДСЕТЕЙ, СВЯЗАННЫХ МЕЖДУ СОБОЙ ЧЕРЕЗ ОБЩЕДОСТУПНУЮ СЕТЬ (НАПРИМЕР, ЧЕРЕЗ ИНТЕРНЕТ) С ПОМОЩЬЮ ЗАЩИЩЕННЫХ ПРОТОКОЛОВ

Основные цели VPN — обеспечение прозрачного доступа к ресурсам удаленной сети и исключение вероятности утечки конфиденциальной информации за счет использования криптостойкого шифрования передаваемых данных. Посмотрим, как можно защитить сетевой трафик проводных и беспроводных WinXP-клиентов с помощью технологии VPN.

[ода IPsec.]

Для создания VPN могут использоваться протоколы IPsec, SSL или PPTP. Тем не менее, подавляющее большинство разработчиков сетевого оборудования отдает предпочтение первому варианту. Во-первых, потому что IPsec был специально создан для обеспечения безопасности в базовых протоколах семейства TCP/IP, а во-вторых, он более гибок и удобен, нежели любой протокол прикладного уровня. Не будем пренебрегать экспертным мнением сетевых специалистов и тоже остановимся на этом стандарте.

IP Security — это целый набор протоколов, касающихся вопросов шифрования, аутентификации и обеспечения защиты при транспортировке IP-пакетов. В спецификации IPsec гарантии целостности и конфиденциальности данных обеспечиваются за счет использования механизмов аутентификации и шифрования. Аутентификация выполняется протоколом AH (Authentication Header — заголовок аутентификации), а шифрование — протоколом ESP (Encapsulating Security Payload — инкапсулированные защищенные данные). Оба протокола добавляют собственные заголовки и имеют свой ID (AH имеет ID протокола — 51, ESP — 50), по которому можно определить, что последует за заголовком IP.

Логика работы IPsec руководствуется одним из трех способов: компьютер — компьютер, компьютер — сеть, сеть — сеть. Остановимся на первом и третьем сценариях работы.

[разведка на местности.]

За последние несколько лет беспроводные сети получили широкое распространение во всем мире. Принимая решение о построении wlan, ты должен четко представлять себе не только достоинства, но и недостатки WiFi-технологий. Сейчас криптографической слабостью WEP может воспользоваться любой желающий: поддержка новых механизмов безопасности WPA/WPA2 присутствует далеко не во всех системах, а стоимость аппаратных VPN-устройств довольно высока. Возникает резонный вопрос: тогда почему бы для защиты передаваемого трафика не воспользоваться программным решением, например, на базе *BSD?

Последняя версия (на момент написания статьи — 3.9) ультрасекьюрной OpenBSD как нельзя лучше подойдет для выполнения нашей миссии. Эта операционная система обладает прекрасной реализацией стека TCP/IP и протокола IPsec. Кроме того, в ее состав входят отличный файрвол Packet Filter (pf) и демон isakmpd, который обеспечивает работу по протоколу обмена секретными ключами (ISAKMP). Кстати, настройка FreeBSD, NetBSD и DragonflyBSD будет отличаться несильно.