ipsec

Свободный сетевой обмен - Создаем кроссплатформенную виртуальную частную сеть VPN на основе Openvpn: Варианты реализации VPN Главная Статьи Виртуальные частные сети (VPN) Создаем кроссплатформенную виртуальную частную сеть VPN на основе Openvpn Main Menu Главная Статьи Обзоры Блог Поиск Создаем кроссплатформенную виртуальную частную сеть VPN на основе Openvpn Написал Бешков Андрей Пятница, 01 Апреля 2005 Содержание статьи Варианты реализации VPN История создания ipsec возможности OpenVPN Схема соединения VPN сетей фиалов Создание секретных ключей VPN Конфигурация VPN между Linux ipsec FreeBSD Установка OpenVPN на FreeBSD Конфигурация VPN между FreeBSD ipsec Linux Тестируем первый VPN канал Конфигурация VPN между Windows ipsec FreeBSD Тестируем второй VPN туннель Проверяем шифрование данных передаваемых через VPN Page 1 of 11 Рано или поздно большинство системных администраторов сталкивается с необходимостью соединить свои территориально удаленные сети с помощью надежного, достаточно быстрого ipsec в то же время защищенного от прослушивания ipsec вмешательства злоумышленников канала. Таким образом, получается, что нам нужно создать частную виртуальную сеть (Virtual Private Network), или VPN. В этот момент перед нами открывается развилка из нескольких путей для претворения задуманного в жизнь: Использовать свободную реализацию IPSec (Internet Protocol Security). В качестве таковой могут выступать FreeSWAN на Linux или IPSec на FreeBSD. Купить ipsec внедрить коммерческое решение. Например, Cisco VPN или Securepoint VPN Server, который также основан на IPSec, или взять решение от какого-либо другого производителя, например Windows IPSec. В данном разделе я сознательно не делю решения на аппаратные ipsec программные, потому что это всего лишь обзор. Взять на вооружение свободные разработки, использующие криптографические алгоритмы собственного изготовления. Список таких приложений довольно велик. Поэтому перечислим только те, что у всех на слуху – cipe, vpnd, tinc, vtun – этот список можно было бы продолжать очень долго. О процедуре создания VPN на основе vtun можно прочитать здесь. Самостоятельно написать программное обеспечение, реализующее все механизмы VPN. Использовать PPTP (Point to Point Tunneling Protocol).Давайте разберемся с достоинствами ipsec недостатками каждой из предлагаемых методик решения проблемы. Что же можно сказать по поводу первого решения. Последние несколько лет при создании VPN стандартом де-факто считается IPSec. Такая распространенность помогает нам не слишком беспокоиться о совместимости VPN-серверов ipsec клиентов. Все-таки единый стандарт – штука очень удобная. Подобный способ хорош тем, что не потребует больших материальных затрат ipsec в то же время предлагает стойкую криптографическую защиту передаваемых данных. Но на этом его преимущества заканчиваются, ipsec на сцену выходят недостатки. Во-первых, IPSec не обязательно сможет мирно сосуществовать с вашим межсетевым экраном, особенно если тот выполняет над пакетами изуверские операции, называемые в народе NAT (Network Adress Translation). Опять же экраны с контролем состояния соединения (statefull firewall), находящиеся между двумя точками виртуального тоннеля ipsec управляемые провайдером, могут не пропускать те или иные IPSec-пакеты. Некоторые реализации IPSec уже научились обходить NAT с помощью STUN, но не у всех это получается одинаково гладко. О кроссплатформенности разных реализаций IPSec пока что остается только мечтать в связи с тем, что для реализации функций IPSec приходится вносить в ядро операционной системы ipsec IP-стек довольно много изменений. Как гласит старинная пословица: «Надежность заканчивается там, где начинается сложная механика», это значит, что одна-единственная ошибка в коде, реализующем IPSec, приведет к огромной дыре в безопасности на уровне ядра системы. Вдобавок, насколько я знаю, на данный момент не существует легко настраиваемого свободного клиента IPSec для Windows. Значит, либо придется разбираться в настройках тех клиентов, что распространяются под эгидой opensource, либо покупать коммерческий. Также стоит обратить внимание на несколько большую сложность установки ipsec настройки такого комплекса по сравнению с остальными типами VPN. Еще одним из минусов является отсутствие технической поддержки. Если что-то пойдет не так, как планировалось, то на квалифицированную помощь от производителя рассчитывать трудно. Это ведь свободный продукт, поэтому придется просить совета либо у своих более удачливых коллег, либо в форумах ipsec списках, посвященных данному программному обеспечению. Впрочем, не каждый производитель проприетарного софта может похвастаться квалифицированной службой поддержки. К тому же обычно у многих свободных разработок существует внушительный лагерь сторонников, которые будут рады обратить вас в свою веру ipsec заодно помочь в настройке программы.Второй способ выглядит довольно привлекательным в случае, если у вас есть деньги. В обмен на довольно внушительную сумму вы, скорее всего, получите более или менее качественную техническую поддержку, стабильно работающее оборудование ipsec специалистов, которые самостоятельно или по вашим указаниям решат, как именно соединить сети для достижения наилучшего результата. Да ipsec с технической документацией вероятнее всего дело будет обстоять очень хорошо. Но, как всегда в жизни, плюсов без минусов не бывает. Выбрав решение от одного производителя, вы будете впредь очень сильно привязаны к нему. Соответственно, если выбранный вендор не реализует те или иные возможности в своей продуктовой линейке, значит ipsec вы, скорее всего, не сможете ими воспользоваться. Третий вариант наиболее подходит для тех, кому нужно развернуть VPN без больших затрат времени, сил ipsec денег. В то же время нужно отдавать себе отчет, что обычно подобные программы пишут для собственного использования те, кто не смог или не захотел разобраться с принципами работы ipsec методикой настройки IPSec. Соответственно основной идеей разработки является удобство использования ipsec нетребовательность к ресурсам. Со временем такие программы понемногу совершенствуются, но все же не стоит ожидать от них запредельной надежности ipsec безопасности. Происходит это потому, что каждый автор использует свои собственные реализации криптоалгоритмов. Конечно, они обеспечивают некоторую степень защищенности, но без проведения сторонней экспертизы точно сказать, насколько надежно все это работает, довольно затруднительно. Соответственно данный класс программ больше подходит для защиты каналов, по которым передается информация с малым временем жизни, предназначенная для ограниченного распространения. Внедрение такого решения позволит защитить наши данные от начинающих злоумышленников, но не от профессионалов в области подглядывания. Впрочем, для некоторых предприятий вполне достаточно ipsec таких возможностей. Четвертый путь выглядит привлекательным только для специалистов в области криптографии, обладающих большим количеством свободного времени. Но, к сожалению, таких людей в мире немного, ipsec тех, кто позволит себя нанять, еще меньше.Вариант решения, основанный на PPT, большей частью используется приверженцами Microsoft. Данный стандарт реализует довольно стойкое шифрование ipsec аутентификацию соединений. Созданный в недрах большой Редмондской корпорации, он не получил особого распространения в мире UNIX. Хотя свободное программное обеспечение для работы с ним все же существует ipsec пользуется некоторым спросом, все же решения на основе IPSec практикуют гораздо чаще. Происходит это, видимо, потому, что IPSec имеет более надежные процедуры шифрования. Но политические мотивы сопротивления со стороны юниксистов новинкам, внедряемым Microsoft, тоже не стоит сбрасывать со счетов. Ну ipsec большинству читателей, не воспользовавшихся вариантами, предлагаемыми выше, видимо, придется обратиться к программе OpenVPN, которой собственно ipsec посвящена данная статья. Между делом неплохо было бы посетить сайт проекта http://openvpn.sourceforge.net. Ну ipsec я продолжу свое повествование.Предыдущая - Следующая>> Последнее обновление ( Суббота, 16 Июня 2007 ) < Пред. След. > [Назад] разделы 5440.16 (крышка) выставочный витрина срочный перевод нард online фирменный цвет вымпел заказ штукатурка фасадный fag купить джойстик учиться танго скачать короткий нард купить k800i пассажирский лифт бордюр слимент лифт бахила полиэтиленовый купля производственный комплекс ipsec