Перейти к основному содержанию
Рецепты Linux

Main navigation

  • Основы
  • Система
  • Команды
  • Программы
  • Дистро
  • Интерфейсы
  • Устройства
  • Доки
User account menu
  • Войти

Строка навигации

  1. Главная
  2. Red Hat Enterprise Linux: Руководство по безопасности
  3. II. Настройка безопасности Red Hat Enterprise Linux

Глава 6. Виртуальные частные сети

В организациях с несколькими филиалами они часто соединяются выделенными линиями для эффективной и защищённой передачи данных. Например, во многих организациях для соединения сетью одного офиса с остальными используются линии Frame Relay или ATM. Это решение может стоить слишком дорого, особенно для организаций среднего и малого бизнеса, желающих развиваться, но не имеющих средств на выделенные цифровые линии.

Для удовлетворения таких потребностей были разработаны Virtual Private Networks (Виртуальные частные сети) (VPN). Следуя тем же функциональным принципам, что и выделенные линии, VPN позволяют установить защищённое цифровое соединение между двумя участниками (или сетями) и создать глобальную сеть (Wide Area Network, WAN) из существующих локальных сетей (Local Area Networks, LAN). Отличие от Frame Relay или ATM состоит в транспортной среде. Трафик VPN передаётся поверх IP и использует в качестве транспортного уровня датаграммы, что позволяет ему спокойно проходить через Интернет. Многие бесплатные программные реализации VPN осуществляют шифрование по открытым стандартам, чтобы скрыть передаваемые данные.

Некоторые предприятия внедряют аппаратные решения VPN с целью усиления защиты, а другие используют программные или основанные на протоколах реализации. Аппаратные решения VPN выпускают различные производители, в том числе Cisco, Nortel, IBM и Checkpoint. Для Linux выпускается бесплатное программное решение FreeS/Wan, использующее стандартную реализацию протокола IPsec (Безопасность IP - Internet Protocol Security). Эти VPN решения, вне зависимости от того, аппаратные они или программные, действуют как специализированные маршрутизаторы, расположенные на концах IP-соединений между офисами.

Когда клиент передаёт пакет, он посылает его через маршрутизатор или шлюз, добавляющий заголовок проверки подлинности (Authentication Header, (AH) с информацией о маршрутизации и подлинности. Затем данные кодируются и вместе с инструкциями по декодированию и обработке становятся инкапсулированными защищенными полезными данными (Encapsulating Security Payload, ESP). Получающий маршрутизатор VPN отбрасывает информацию заголовка, расшифровывает данные и направляет пакет по назначению (компьютеру или сети). Если используется шифрование между сетями, узел, принимающий пакет в локальной сети, получает его расшифрованным и приступает к обработке. Процесс кодирования/декодирования в VPN-соединении между сетями прозрачен для локального узла.

С таким серьёзным уровнем защиты злоумышленник должен не только перехватить пакет., но и расшифровать его. Взломщики, реализовавшие атаку с посредником между сервером и клиентом, должны также иметь доступ к минимум одному из закрытых ключей, используемых в сеансе проверки подлинности. Так как в VPN применяются несколько уровней проверки подлинности и шифрования, VPN достаточно безопасны и эффективны для того, чтобы объединить множество удалённых узлов в единую интрасеть.

6.1. VPN и Red Hat Enterprise Linux

Пользователи и администраторы Red Hat Enterprise Linux могут реализовать программное решение для подключения к WAN самыми разными способами. Red Hat Enterprise Linux поддерживают реализацию VPN по стандарту защиты протокола Интернета (Internet Protocol SECurity, IPsec), который эффективно удовлетворяет потребности организации по подключению филиалов или удалённых пользователй.

  • 6.2. IPsec
  • 6.3. Установка IPsec
  • 6.4. Конфигурация IPsec «узел-узел»
  • 6.5. Конфигурация IPsec «сеть-сеть»

Перекрёстные ссылки книги для Глава 6. Виртуальные частные сети

  • 5.8. Определение открытых портов
  • Вверх
  • 6.2. IPsec

Book navigation

  • Введение
  • I. Общее введение в безопасность
  • II. Настройка безопасности Red Hat Enterprise Linux
    • Глава 3. Обновления системы безопасности
    • Глава 4. Безопасность рабочей станции
    • Глава 5. Безопасность сервера
    • Глава 6. Виртуальные частные сети
      • 6.2. IPsec
      • 6.3. Установка IPsec
      • 6.4. Конфигурация IPsec «узел-узел»
      • 6.5. Конфигурация IPsec «сеть-сеть»
    • Глава 7. Брандмауэры
  • III. Оценка собственной защиты
  • IV. Реакция на вторжения и инциденты
  • V. Приложения

Последние материалы

  • Файл sudoers
    2 days ago
  • Утилита visudo
    4 days ago
  • Файловый менеджер Thunar
    1 week 6 days ago
  • Эмулятор терминала Terminator
    2 weeks 4 days ago
  • Приложение scanimage
    3 weeks 3 days ago
RSS feed

Secondary menu

  • О проекте

© 2008–2025 Олег Меньшенин mensh@yandex.ru