96
− унифицируемость, т. е. возможность устанавливать защищенные соеди-
нения с коллегами по бизнесу, у которых уже установлена иная VPN-система;
− общая совокупная стоимость, т. е. затраты на приобретение, развертыва-
ние и обслуживание системы не должны превосходить стоимость самой ин-
формации, особенно если речь идет о защите коммерческой тайны.
5.2. Туннелирование в VPN
Как указывалось выше, основная задача, решаемая VPN, — скрыть пе-
редаваемый трафик. При этом необходимо скрыть как передаваемые данные,
так и адреса реальных отправителя и получателя пакетов. И кроме того, необ-
ходимо обеспечить целостность и подлинность передаваемых данных. Для
защиты передаваемых данных и реальных IP-адресов применяются крипто-
графические алгоритмы. При отправке пакетов применяется туннелирование,
т. е. в пакетах, которые идут в открытой сети, в качестве адресов фигурируют
только адреса «черных ящиков». Кроме того, туннелирование предполагает,
что внутри локальных сетей трафик передается в открытом виде, а его защита
осуществляется только тогда, когда он попадает в «туннель».
Итак, пусть у нас имеется пакет, содержащий данные и IP-заголовок, ко-
торые подлежат защите (
рис. 5.2). Для защиты применим криптографические
методы и зашифруем и данные, и заголовок вместе. Так как необходимо обес-
печить скорость обработки информации, то для зашифрования, естественно,
будем использовать симметричный алгоритм.
Известно, что применение симметричных алгоритмов шифрования тре-
бует решения задачи распространения симметричных ключей. Поэтому по-
ступим следующим образом: прикрепим симметричный ключ прямо к зашиф-
рованным с его использованием данным. Назовем симметричный ключ пакет-
ным ключом (его еще называют сеансовым ключом). Этот пакетный ключ бу-
дем генерировать случайным образом при отправлении каждого нового пакета
(тогда он действительно «пакетный» ключ). Либо будем его генерировать
также случайно при каждом сеансе обмена. Тогда данные всех пакетов, пере-
даваемых в данном сеансе связи, будут шифроваться одним и тем же ключом,
и это уже «сеансовый» ключ.
Конечно, нельзя отправлять пакетный ключ в открытом виде, прикреп-
ляя его к зашифрованным им данным. Следует его зашифровать. Воспользу-
емся тем, что ключ, в отличие от данных, — это лишь пара сотен бит (в зави-
симости от реализации, например, 256 бит — длина ключа алгоритма ГОСТ
28147-89, 56 бит — длина ключа алгоритма DES). Таким образом, можем
применить более медленные асимметричные алгоритмы и зашифровать с их
помощью пакетный ключ. Вместе с тем, для шифрования пакетного ключа
может быть применен и симметричный алгоритм. Ключ алгоритма шифрова-
ния пакетного ключа назовем ключом связи.