Набор протоколов для создания защищенного сетевого соединения
4.2.3.2 Протоколы защиты (безопасности)
Протокол SSL ( Secure Sockets Layer) используется для создания защищённого канала связи между компьютерами на базе TCP. Создателем протокола является фирма Netscape. SSL использует при создании сеанса связи и передачи ключей асимметричное шифрование, но при передачи данных используется симметричное шифрование. Этот протокол использует метод диалога (рукопожатия) при создании сеанса связи (на сеансовом уровне). При этом стороны получают уверенность в том, с кем имеют дело, и в том, что на линии связи не произошла подмена партнёра. На основании диалога стороны вырабатывают общий симметричный ключ для быстрой передачи данных.
Если в ходе диалога возникают проблемы с авторизацией (с сертификатами), то соответсвующее веб-приложение сообщает об этом и предупреждает об опасности. Если авторизация прошла успешно, то клиент подгатавливает данные для создания симметричного ключа и пересылает их, используя открытый ключ сервера. Если необходима авторизация клиента, то последний высылает свои подписанные сертификаты. Сервер подгатавливает конечный пакет данных, который используется при изготавлении симметричного ключа. Подробно шаги SSL диалога описаны по адресу: http://support.microsoft.com/kb/q257591/
Протокол защиты транспортного уровня (TLS — Transport Layer Security) есть протокол, который получил своё начало от SSL протокола и в будущем может его заменить.
Протокол защитной оболочки (SSH — Secure Shell protocol) использует окрытый ключ для создания соединения и проведения авторизации. Используется для безопасного удалённого доступа к компьютеру, а также для передачи данных при помощи SFTP (Secure File Transfer Protocol) протокола.
Интернет-протокол защиты данных (IPSec — IP Security) есть сборник протоколов, чтобы обезопасить движение данных по сети шифрованием. Он позволяет двустороннюю авторизацию и шифрование через Интернет. Двумя основными составляющими протоколами являются IP заголовок (AH — Authentication Header), при помощи которого можно пакеты данных снабжать цифровой подписью (ESP — Encapsulated Security Payload) и шифровать пакеты данных AES или 3DES алгоритмами.
Виртуальная приватная сеть (VPN — Virtual Private Network) даёт возможность пересылать данные от одного компьютера другому через зашифрованный канал. Между клиентом и сервером устанавливают зашифрованный канал, используя протокол точка-точка (PPP — Point to Point Protocol). При создании PPP соединения снабжают данные заголовком, в котором содержится информация о маршруте для передачи данных по сети. В VPN соединении использовано стандартное решение, чтобы получить безопасный доступ в локальную сеть из глобальной сети (Интернета). Применяются различные протоколы:
PPTP (Point to Point Tunneling Protocol) протокол используется в течение длительного времени и хорошо совместим с различными системами. Не требует авторизации сертификатов. При создании соединения диалог (рукопожатие) проводится в незашифрованном виде, что является наибольшей слабостью протокола PPTP. Протокол использует PPP для авторизации пользователя и MPPE (Microsoft Point to Point Encryption) шифрование данных 40-битным, 56-битным или 128-битным ключом.
L2TP (Layer 2 Tunneling Protocol) использует PPP авторизацию и IPsec шифрование, требует авторизацию компьютера клиента с сертификатами. PPP пакеты инкапсулированы при помощи L2TP, чтобы передавать информацию через глобальную сеть. IPsec ESP шифрует L2TP движение. Поддерживается AES шифрование до 256 бит.
Рисунок STYLEREF 1 \s 4 ‑ SEQ Joonis \* ARABIC \s 1 5 . L2TP пакет данных вместе с заголовком
Рисунок STYLEREF 1 \s 4 ‑ SEQ Joonis \* ARABIC \s 1 6 . L2TP/IPsec зашифрованный пакет
SSTP (Secure Socket Tunneling Protocol) использует PPP через SSL протокол. SSTP не требует авторизации клиента по умолчанию, но сервер должен предоставить сертификаты, которые клиент проверяет прежде, чем установить соединение.
Рисунок STYLEREF 1 \s 4 ‑ SEQ Joonis \* ARABIC \s 1 7 . SSTP пакет данных
IKEv2 (Internet Key Exchange V2) использует IPSec шифрование, для авторизации сервер должен подтвердить свой идентитет сертификатом. Поддерживает автоматическое восстановление соединения (VPN Reconnect).