Надежные и безопасные сети

НОВОСТИ ОТ NOVELL
Интернет:http//www.novell.ru
FTP-сервер:ftp://ftp.novell.ru

Надежные и безопасные сети

(Окончание. Начало - КИ, 4)

ВorderManager имеет также некоторые дополнительные механизмы безопасности при использовании RC2 с 40-битным ключом. Например, как администратор Master сервера, вы можете установить момент смены ключа для BorderManager сервера, который используют серверы VPN для кодирования данных во время передачи через туннель. Смена ключа происходит после передачи определенного числа пакетов, и если вы устанавливаете смену ключа через каждые 100 пакетов, то для того, чтобы усложнить определение момента смены ключа, его реальная смена будет происходить в диапазоне - от - до100 пакетов.

С чего все начинается?
Как BorderManager создает туннель через Internet (или внутри вашей корпоративной сети)? Процесс начинается, когда вы определяете, какой сервер в вашей VPN будет являться Master сервером. Поскольку Master сервер является центральной точкой, от которой вы можете конфигурировать и управлять VPN, вы должны выбирать в качестве Master сервера для VPN тот сервер, на который приходится большинство соединений, необходимых объединить в VPN.

тобы сконфигурировать Master сервер, вам необходимо использовать утилиту NIASCFG. Также понадобится сконфигурировать открытый и туннельный IP адреса для Master сервера. Открытый адрес - это зарегистрированный IP адрес, под которым все серверы Internet смогут обращаться к вашему серверу, а туннельный - может быть любым (нерегистрированным). Этот адрес известен только Master и Slave серверам вашего VPN.

Для построения ключа шифрования используется вводимая администратором Master сервера последовательность символов (до 255 символов) и чем более длинную последовательность он введет, тем более осложнит задачу взламывания вашего канала, но и, соответственно, увеличит время создания ключа. На базе этой информации утилита NIASCFG строит кодировочную информацию.

Открытый и частный RSA ключи, которые будут использоваться для идентификации VPN серверов.
Diffie-Hellman параметры, которые использует BorderManager VPN, чтобы сгенерировать Diffie-Hellman открытый и частный ключи.
Diffie-Hellman открытый и частный ключи, которые будут использоваться для кодирования и декодирования данных.

После этого администраторам Slave серверов (электронной или курьерской почтой) передается файл, содержащий кодировочную информацию, созданную на Master сервере (открытый и туннельный IP адреса Master сервера, параметры Diffie-Hellman и открытый ключ RSA). На основе этой информации администраторы Slave серверов строят кодировочную информацию, аналогичную той, которая была создана на Master сервере для своих серверов. Затем кодировочная информация, созданная на Slave серверах, электронной или курьерской почтой передается администратору Master сервера, который, используя ее, устанавливает туннель между Master и Slave серверами. Все управление VPN осуществляется администратором Master сервера с помощью утилиты NWADMIN. Получив файлы с криптоинформацией от всех Slave серверов, администратор добавляет эти серверы в список серверов, участвующих в VPN, и после синхронизации (очередной или принудительно заданной администратором) вновь добавленные серверы смогут обмениваться информацией через защищенный туннель.

Закодированный обмен
Как же происходит обмен данными через туннель? Предположим, что клиент запрашивает файл с Master сервера. Запрос в форме пакета попадает сначала на Slave сервер, который просматривает адрес назначения пакета и проверяет свою таблицу маршрутизации, чтобы определить, кому адресован данный пакет. После выяснения, что пакет адресован к Master серверу, он направляется на BorderManager крипто-драйвер. После получения крипто-драйвером пакета от Slave сервера, этот драйвер должен закодировать пакет, используя RC2 128-битный ключ. Для того, чтобы декодировать пакет, Master серверу понадобится тот же RC2 128-битный ключ, который был использован Slave сервером при кодировании. Посылка этого ключа через сеть может быть опасной, если ключ не закодирован, поэтому для защиты ключа крипто-драйвер Slave сервера использует общий секрет для кодирования этого ключ. Крипто-драйвер Slave сервера затем устанавливает новый IP заголовок перед закодированным ключом, который идет перед закодированным пакетом (см. рис.). Этот заголовок содержит закодированный адрес пакета источника (открытый адрес IP Slave сервера) и адрес назначения (открытый адрес IP Master сервера). После того, как новый IP заголовок и закодированный ключ добавлены к закодированному пакету, Slave сервер посылает этот пакет через туннель. При этом все промежуточные системы, как, например, маршрутизаторы, знают только, что пакет идет от сервера в Ames к серверу в San Jose.

Когда Master сервер получает закодированный пакет, он пересылает этот пакет на свой крипто-драйвер, который, используя общий секрет, декодирует закодированный ключ и затем использует этот ключ при декодировании полученного пакета, восстанавливая таким образом исходный вид посланного пакета. Поскольку исходный пакет содержит адрес назначения Master сервера, крипто-драйвер пересылает пакет на сетевой уровень, который посылает пакет на сетевую карту сервера, подключенную к внутренней частной сети.

В заключение хотелось бы отметить, что Novell BorderManager является довольно непростым продуктом в части настройки и управления. Он требует от администраторов BorderManager серверов при использовании VPN компонент других широких возможностей, а также довольно обширных и разносторонних знаний в области современных сетевых технологий и конкретных особенностей самого BorderManager. Поэтому фирмой Novell был разработан специализированный трехдневный курс Securing Intranet with BorderManager, который дает администраторам необходимый спектр знаний и навыков в области современных сетевых технологиях и реальной работе по настройке и обслуживанию серверов с BorderManager. Прослушать этот курс, подготовив тем самым ваших администраторов к продуктивной работе с BorderManager, можно в авторизованных учебных центрах Novell.

КОМПЬЮТЕР-ИНФОРМ