Применение VPN и туннелей для перадачи конфиденциальной информации

Существуют различные протоколы для реализации VPN туннелей и шифрования. С учетом широкого распространения ОС Microsoft Windows, и, как следствие, необходимости использования сервиса организации VPN туннеля, встроенного в данную ОС, наиболее распространенными являются протокол PPTP и связка L2TP/IPSec.[14]
L2TP/IPSec — характеризуется как более безопасный протокол, формально стандартизированный в IETF RFC 3193 и рекомендуется как замена для PPTP, на основании повышенной безопасности. [1]
IPSec является стеком протоколов, обеспечивающих безопасности данных для устройств, общающихся по межсетевому протоколу IP. IPSec VPN обеспечивает безопасность данных с помощью шифрования. IPSec VPN снабжает передаваемые данные несколькими уровней защиты. Он может защищать и аутентифицировать IP-пакеты несколькими протоколами: ESP, AH IKE. Основное предназначение IPSec – это защита информации: обеспечение конфиденциальности, доступности, целостности. [17]
Ядро IPSec составляют три ключевых протокола выполняющими роли механизма обмена, алгоритмов шифрования и обмена ключами. [16]
Так же ключевым понятием IPSec является SA (Security Association) представляющий собой набор параметров, характеризующих соединение (используемые алгоритмы шифрования, хеш-функции, секретные ключи и пр.).
Так как IPSec способен устанавливать не единственное подключение для хранения параметров SA каждого соединения используется SAD (Security Associations Database). [15]
Все записи SA хранятся в базе данных SAD IPSec-модуля. Каждое SA имеет уникальный маркер, состоящий из трёх элементов [15]:
индекс параметров безопасности SPI;
IP-адрес назначения;
идентификатор протокола безопасности (ESP или AH).
IPSec-модуль, имея эти три параметра, может отыскать в SAD запись о конкретном SA.
Помимо базы данных SAD, IPSec поддерживают такую базу данных, как SPD (Security Policy Database). SPD предназначена для соотнесения приходящих IP-пакетов с правилами их обработки. Записи в SPD состоят из двух полей. В первом хранятся характерные признаки пакетов, которые позволяют выделить тот или иной поток информации. Эти поля называются селекторами. Второе поле в SPD содержит политику защиты, сопоставленную данному потоку пакетов. [7]
Селекторы используются для фильтрации исходящих пакетов с целью сопоставления каждого пакета с определенным SA. При поступлении пакета, сравниваются значения соответствующих полей в пакете (селекторные поля) с записанными в SPD. При нахождении совпадения читается поле политики защиты, в котором содержится информация о том, как поступать с данным пакетом: передать без изменений, отбросить или обработать.
В случае решения обработки в этом же поле присутствует ссылка на соответствующую запись SAD. Затем определяется SA для пакета и сопряжённый с ней индекс параметров безопасности (SPI), после чего выполняются операции IPSec (операции протокола AH или ESP).
При входящем пакете в нём сразу содержится SPI. [14]
Протоколы IPSec [11][16]:
AH (Authentication Header) – обеспечивает целостность данных путём проверки того, что ни один бит в защищаемой части пакета не был изменён во время передачи и аутентификацию виртуального соединения, подтверждая, что мы связываемся именно с тем, с кем предполагаем. Однако следует отметить, что использование AH может вызвать трудности, например, связанные с прохождением пакета через NAT, ведь NAT необходимо изменить IP адреса пакета для доступа в Internet c закрытого локального адреса. Т.к. пакет в таком случае изменится, то контрольная сумма, высчитанная принимающей стороной, не совпадет с контрольной суммой AH пакета. AH протокол разрабатывался только для обеспечения целостности и не гарантирует конфиденциальности пакета [2];
ESP (Encapsulating Security Protocol) – инкапсулирующий протокол безопасности, обеспечивающий как целостность, так и конфиденциальность. В режиме транспорта ESP заголовок находится между оригинальным IP заголовком и заголовком TCP (или UDP). В режиме же туннеля заголовок ESP размещается между новым IP заголовком и зашифрованным оригинальным IP пакетом. ESP протокол использует алгоритмы шифрования DES, 3DES и AES;
IKE (Internet Key Exchange protocol) – протокол, связывающий работу компонентов IPSec. IKE осуществляет начальный аутентификацию сторон, обмен общими секретными ключами.