1. Икономически Университет – Варна
Факултет „Магистърско обучение“
По дисциплина
„Безопаснот и защита на Microsoft мрежи и приложения“
Тема „Безопасност и защита на VPN“
Изготвил:
Мартина Велинова
Фак. № 11816, група 61
Специалност Информатика
Р е ф е р а т

2. Съдържание:
VPN технология .....................................................................................................3
Какво е VPN..................................................................................................3
VPN – ите и техните предимства ................................................................3
Видове VPN..................................................................................................6
Site-to-site………………………………………………………………………………………..6
Remote Access………………………………………………………………………………….7
Компоненти на VPN.....................................................................................8
Характеристики на сигурния/защитения VPN..........................................10
VPN тунелиране ........................................................................................11
VPN интегритет на данните.......................................................................12
IPsec защитни протоколи .........................................................................18

3. Какво е виртуална частна мрежа (VPN ) ?
Виртуална частна мрежа (VPN) е мрежа, която използва
обществена инфраструктура, като например Интернет, за да предоставя
на отдалечени офиси или индивидуални потребители,сигурен достъп
до мрежата на своята организация.
VPN работи с помощта на споделената публична инфраструктура като
същевременнозапазва неприкосновеността на личната информация
чрез процедури за сигурност и тунелни протоколи.
Предимства на VPN
Интернет е световна, публично достъпна IP мрежа. Заради
голямата глобална пролиферация, тя се превърна в атрактивен начин за
свързване на отдалечени обекти. Въпреки това, самият факт, че тя е
обществена инфраструктура, създава рискове за сигурността на
предприятията и техните вътрешни мрежи. За щастие, VPN
технологията позволява на организациите да създават частни мрежи
върху/над обществената интернет инфраструктура, които да поддържат
конфиденциалност и сигурност.
Организациите използват VPN, за предоставияне на виртуална
WAN инфраструктура, която свързва офиси, домашни офиси,
партньорски бизнес сайтове, домашни илиотдалечени потребители с
цялата или с част от тяхната корпоративна мрежа. За да остане частен,
трафикът е кодиран. Вместо да се използва специална Layer 2 връзка,

4. като например наета линия, VPN използва виртуални връзки, които ще
бъдат пренасочени чрез Интернет.
Това е по същество как работи VPN . Всеки член на вашата мрежа
може да общува по сигурен и надежден начин, използвайки Интернет
като средство за свързване с частна локална мрежа. A VPN се разраства
много по-лесно, отколкото наетата линия. В действителност,
скалируемостта е голямо предимство на VPN -а пред наетите линии. За
разлика от наети линии, където увеличението на разходите е
пропорционално на разстоянията, географското местоположения на
офисане е от такова значение при създаването на VPN .
Организации, ползващи VPNs се възползват от по-голяма
гъвкавост и производителност. Отдалечените обекти и мобилните
служители могат да се свързват сигурно към корпоративната мрежа от
почти всяко място. Данните от VPN се криптирани. VPN-итевкарват
отдалечените хостове отвъд защитната стена, като по този начин се
осигуряват същите нива на достъп до мрежови устройства, както ако са
физически разположени в корпоративния офис .

5. На фигурата в червено са показани наетите линии. Сините линии
представляват VPN връзките.
Следва да се зачетат следните предимства при използването на VPN
Икономия на разходи - Организациите могат да използват
рентабилнo, Internet за свързване на отдалечени офиси и
потребители към главния корпоративен сайт. Това елиминира
нуждата от употреба скъпи частни WAN връзки и модеми. Чрез
използването на широколентов достъп, VPNнамаляваразходите за
свързване, като същевременно увеличава лентата за дистанционно
свързване.

6. Сигурност - Advanced Encryption и удостоверителните протоколи
защитават данните от неоторизиран достъп .
Скалируемост - VPNs използват инфраструктурата на Интернет, т.е.
организациите лесно могат да добавят нови потребители, при това
без да инвестират в допълнителен ресурс за надграждане на
инфраструктурата.
Видове VPN
 Toчка – до - точка
Организациите използват от точка-до-точкаVPN-и за свързване на
разпръснати локации. Тъй като повечето организации имат достъп до
Интернет, има смисъл да се възползват от предимствата на сайт - към-
сайт VPN. Както е показано на фигурата, точка-до-точкаVPN-ите също
поддържат вътрешно- фирмени интранети.
В действителност, от точка-до-дочкаVPN е продължение на
класическата WAN мрежа. Site - към - сайт VPN-а свързва цели мрежи

7. помежду им . Например, може да се свърже клоновата мрежа към
мрежата на централното управление.
В един сайт - към- сайт VPN, хостовете изпращат и получават
TCP/IP трафик през VPN шлюз, който би могъл да бъде маршрутизатор,
PIXFirewall устройство /защитна стена/, или AdaptiveSecurityAppliance
(ASA). VPNшлюзът е отговорен за капсулиране и криптиране на
изходящия трафик от даден сайт и изпращането му, чрезVPN тунел,през
мрежата на Интернет към партньорскияVPN шлюз.При получаване,
отсрещният шлюз разопакова заглавката (header), декриптира
съдържанието и препредава пакета към хоста – получател, в своята
частна мрежа.
Видове VPN
 Remote Access
Употребата на VPNот отдалечени служители (teleworkers) е широко
разпространена.
В миналото, корпорациите, поддържали отдалечените потребители,
използвайки комутируеми мрежи (dialup). Товае свързано с
допълнителни такси - за повикване, за разговор с отдалечена точка (на
голяма дистанция), за да получите достъп до корпорацията.

8. При VPN комуникацията, всеки хост има VPN клиентски софтуер.
Всеки път, когато хост опита да изпрати трафик, VPN
клиентскиятсофтуер капсулира и криптира този трафик , преди да го
предаде по интернет на отсрещния VPN шлюз. При получаване, VPN
шлюза работи с данните по същия начин, както сайт - към- сайт VPN.
Компоненти на VPN
VPN създава частна мрежа над обществения мрежова
инфраструктура при запазване на поверителността и сигурността. VPN
използват криптографски тунелни протоколи,за да осигурят защита
срещу packetsniffing, удостоверяване на източника и интергитет на
данните (цялост, пълнота на данните).
Фигурата показва типична VPN топология.
Компоненти за установяване на VPN:
съществуваща мрежа със сървъри и работни станции
връзка с интернет

9. VPN шлюзове, като рутери, защитни стени, VPN концентратори и ASA
, които действат като крайни точки, за установяване, управление и
контрол на VPN връзките
подходящ софтуер за създаване и управление на VPN тунели
Ключът към VPN ефективността е в сигурността. VPN-аобезопасява
данните чрез капсулиране или чрез криптиране на данните. Повечето
VPN мрежи правят и двете.
Капсулирането се нарича също така тунелиране, защото капсулиране
предава данните, прозрачно (в чист вид), от мрежа до мрежа през
споделена инфраструктура.
Криптиране – кодира информацията в различен формат, използвайки
секретен ключ закодиране на данни в различен формат с помощта на
секретен ключ. Дешифрирането (декриптиране) декодира
криптираните данни в оригиналния йформат.

10. Характеристики на сигурния VPN
VPN-ите използват напреднали техники за криптиране и тунелиране,
за да могат организациите да установят сигурни, частни връзки през
Интернет .В основата на сигурността на VPN са поверителността на
данните , целостта на данните (интегритета) и удостоверяването
(автентикацията):
 Поверителност на данните - общата сигурност защитава данните от
подслушвачи. Поверителност на данните има за цел да защити
съдържанието на съобщения от прихващане от непроверените или
неоторизирани източници. VPN постига конфиденциалност,
използвайки механизмите на капсулиране и криптиране.
 Цялост на данните –получателятняма контрол върху пътя на данните
затова не знае дали тене сапреглеждани или модифицирани, докато
пътуват през Интернет. Винаги съществува възможността, данните
да са били променени. целостта на данните гарантира, че няма
външна намеса по пътя между източника и дестинацията. VPN-ите
обикновено използват хешове за да се гарантира целостта на
данните . Хешът е като контролна сума или печат, който гарантира ,
че никой не е прочел съдържанието
 Authentication - гарантира, че съобщението идва от автентичен
източник и отива в автентчна дестинация. Идентифициране на
потребителя давасигурност, че този, с когото комуникирате,
наистина е този, за който се представя. ПриVPN комуникациите
могат да се използват пароли, цифрови сертификати, смарт карти и

11. биометрични данни, за да се установи самоличността на лицето от
другата страна на мрежата.
VPN тунелиране
Включваща подходящи възможности за поверителност на данните в
VPN гарантира, че само предвидените източници и дестинации са
способни на тълкуването оригинални съдържанието на съобщението .
Тунелирането позволява използването на публична мрежа като
Интернет, за пренасяне напотребителските данни, въпреки че
потребителите имат достъп само до частната си мрежа. В процеса на
тунелиране се капсулира целия пакет в друг пакет и изпраща нов,
комбиниран пакет по мрежа.
За да се илюстрира концепцията за тунелиране и класовете на
тунелни протоколи, ще използвам пример за изпращане на празнична
картичка, чрез традиционната поща. Картичката съдържа съобщение.Тя
е протокола пътник. Подателят я поставя в плик (капсулиране), поставя
адрес и оставя плика в пощенската кутия. Пощенската система
(протокол носител) доставя плика в пощенската кутия на получателя.
Двете крайни точки на преносната система са "тунелните интерфейси".
Получателят премахва плика(декапсулира) и прочита картичката.
Фигурата показва e-mail съобщение, пътуващо през Интернет върху
VPN. PPP носи съобщението към VPN устройството, където то се
опакова в GRE пакет (generic route encapsulation) – проток, използван в
тунелирането, разработка на Сиско. Външният източник и дестинацията
на пакета се конфигурират на тунелните интерфейси и се правят

12. маршрутируеми през мрежата. След като пакетът достигне
дестинацията - интерфейсът от другата страна на тунела, вътрешният
пакет се разопакова и се предава на вътрешната мрежа.
VPN Интегритет на данните
Ако информацията се транспортира в чист текст през публичния
Интернет, може да се пресрещне и прочете. За да се държи
информацията конфиденциална, трябва да бъде криптирана.
VPN криптирането криптира информацията и я прави нечетима за
неудостоверените потребители.

13. За да работи криптирането, и изпращача и получателя трябва да знаят
правилата, коитосе използват за трансформиране на оригиналното
съобщение в кодирана форма.
 VPN криптиращите правила включват алгоритъм и ключ.
 Алгоритъмът е математическа функция, която комбинира
съобщение, текст, цифри, или и трите с ключ.
 Изходът е нечетим, криптиран низ.
Декриптирането е изключително трудно или невъзможно без
правилния ключ.

14. Степента на защита, осигурена от криптиращия алгоритъм зависи
от дължината на ключа. Времето, необходимоза обработване на всички
възможности за разшифроване е функция от изчислителната мощ на
компютъра. Следователно, по – кратък ключ -> по – лесно
дешифриране, но краткия ключ има и предимство и то е по-лесното
съставяне на съобщението и по – бързото му предаване през мрежата.
Някой от по - често използваните криптиращи алгоритми и дължината
на ключовите, които използват те са:
 Data Encryption Standard/Цифров Криптиращ Стандарт (DES)
алгоритъм – Разработен от IBM, DES използва 56-битовключ.
Принадлежи към симетрична ключова криптосистема.
 Triple/Троен DES (3DES) алгоритъм – Вариант на DES,който криптира
с един ключ, декриптира с друг, и после криптира за последен път с
трети ключ.
 Advanced Encryption Standard/Усъвършенстван Криптиращ
Стандарт (AES) - AES осигурява по-силна безопасност от DES и е
изчислително по - ефективен от 3DES. AES предлага три различни
дължини на ключа: 128, 192, и 256-бит.
 Rivest, Shamir, и Adleman (RSA) – Асиметрична ключова
криптосистема. Ключовете използват 512, 768, 1024, или по-големи.
Симетрично криптиране
При симетричното ключово криптиране, също наречено secret
key encryption/ криптиране със секретен ключ, всеки компютър
криптира информацията преди да я изпрати върху мрежата към другия

15. компютър. Алгоритмите, които използва са DES и 3DES. Симетричното
криптиране изисква предварително да се знае кои компютри ще
комуникират помежду си, за да може да им се конфигурира един и същ
ключ.
Например, изпращачът създава кодирано съобщение, където всяка
буква се замествас буква която е два реда по надолу в азбуката;
"A“ става "C," и "B" става "D",и така нататък. При този случай, думата
SECRET става UGETGV. Изпращачът вече е казал, че секретният ключ е
“премести с 2." Когато получи съобщението UGETGV, получаващият
компютър го декодира, чрез изместването назад с две букви
получавайки SECRET.
Въпросът е, как криптиращите и декриптиращите
устройства да се разберат за ключа. Може да се използва имейл,
куриер и т.н., за да се изпрати споделения ключ на администратора на
устройствата. Но много по – лесно и сигурно е да се използва методът
на асиметричното криптиране.
Асиметрично криптиране
Public key encryption (публичното криптиране с ключ) е вариант на
асиметрично криптиране, което използва комбинация от частен и
публичен ключ.
Асиметричното криптиране използва различни ключове за криптиране
и декриптиране. Знаейки един от ключовете, не позволява на хакерите
да предположат втория ключ и да декодират информацията.

16. Единият ключ криптира информацията, докато втория декриптира
съобщението.
Използването на публично криптиране, с ключ за обмяна на
информация, е тристъпков процес:
 Изпращачът и получателят обменят техните публични ключове
(техните частни ключове никога не излизат навън);
 Изпращачът използва публичния ключ на получателя, за да криптира
съобщението и после го изпраща;
 Частният ключ на получателя се използва, за да декриптира
съобщението.
•

17. Хешовете допринасят за интегритета на данните, а
удостоверяването осигурява, че неупълномощена личност няма да
подслуша предаваните съобщения.
Хешът, наречен още message digest/обобщено съобщение, е номер
генериран от текстови низ. Хешът е по-малък от самия текст. Генерира
се от формула по такъв начин, че е изключително невероятно друг текст
да произведе същата стойност.
На фигурата, някой се опитва да изпрати на Jeremy чек за $100. В
отдалечената страна, Alex Jones (криминално проявен) се опитва да
изтегли чек за $1,000.
 По време на обработката на чека през Интернет, той се променя.
И получателят и стойността са променени.
 В този случай, ако се използва алгоритъм за интегритет, хешовете
няма да съвпадат, и транзакцията няма да е валидна.

18. keyed hashed message authentication code / ключов хешов
удостоверителен код на съобщението (HMAC) е алгоритъм за цифров
интегритет, който гарантира целостта на съобщението. Оригиналният
изпращач генерира хеш на съобщението и го изпраща заедно със
съобщението. Получателят декриптира съобщението и хеша, генерира
друг хеш от полученото съобщение, и сравнява двата хеша. Ако са едни
и същи, получателят може да е достатъчно сигурен в целостта на
съобщението. Ако няма съвпадение, съобщението е променено.
Има два, често използвани HMAC алгоритъма:
 Message Digest 5 (MD5) - Използва 128-битовсподелен ключ.
 Secure Hash Algorithm 1 (SHA-1) - Използва 160-битовсекретен
ключ.
Устройствата, от другата страна на VPN тунела, трябва да са
удостоверени, преди комуникационния път да се определи като
сигурен. Има два партньорски метода за удостоверяване:
 Pre-shared key / споделен ключ (PSK) - използва симетричен,
криптографски алгоритъм с ключ. PSK се вкарва при двата
партньора ръчно, и се използва, за да удостовери партньорите.
 RSA signature/подпис - използва обмяната на цифрови подписи,
за да удостовери партньорите. Локалното устройство произвежда
хеш и го криптира с публичния ключ на отдалечената страна.
Криптираният хеш (цифровия подпис) се закача към съобщението
и се препраща на отдалечената страна. В отдалечената страна,
криптираният хеш се декриптира с частния ключна локалната

19. страна. Ако декриптираният хеш съвпадне с преизчисления,
подписът е оригинален.
IPsec защитен протокол
IPsec е протоколен набор за обезопасяване на IP комуникацията с
криптиране, интегритет, и удостоверяване. Има два основни IPsec
протокола.
 Authentication Header(AH) – Използва се, когато конфиденциалността не
се изисква или позволява.
 AH осигурява удостоверяване и цялост на информацията.
 Той осигурява, че всяко съобщение, преминаващо през R1 към R2 не
е било променено по време на предаването.
 Той също осигурява произхода на данните.
 AH не осигурява конфиденциалност на данните (криптиране).

20.  Използван самостоятелно, AH pпротоколът осигурява слаба защита.
 Следователно, той се използва с ESP протокола, за
осигуряванекриптиране на информацията и анти-подслушващи
функции.
 Encapsulating Security Payload(ESP) – осигурява конфиденциалност и
удостоверяване, чрез криптиране на пакета.
 ESP удостоверява вътрешния IP пакет и ESP заглавката.
 Удостоверяването осигурява произхода на данните и интегритет.
 Въпреки, че и криптирането и удостоверяването са по желание, в
ESP, като минимум, трябва да бъде избрано едното.
Някой от стандартните алгоритми, които използва IPsec са:
 DES – Криптира и декриптира пакети.
 3DES – Осигурява значителна сила на криптиране пред DES.
 AES – Осигурява силно криптиране и голяма пропускливост.
 MD5 – Удостоверява пакета, чрез 128-битов ключ.
 SHA-1 – Удостоверява пакета, чрез 160-битов ключ.
 DH – Позволява на две части да установят споделен ключ, използван
от криптирането и хеш алгоритмите, например, DES и MD5, върху
несигурен комуникационен канал.
Когато конфигурирате IPsec,
 изберете IPsec протокол.
 Изборите са ESP или ESP с AH.

21.  Изберете криптиращ алгоритъм
 Ако IPsec е реализиран с ESP. Изберете криптиращ
алгоритъм: DES, 3DES, or AES.
 Изберете удостоверяване.
 Изберете алгоритъм за осигуряване на цялост на
данните: MD5 или SHA.
 Последния избор е Diffie-Hellman (DH) групата алгоритми.
 Които обменят споделен ключ за криптиране между
партньорите. Изберете коя група да ползвате, DH1
или DH2.

22. Използвани източници:
TonyChen, CCNAExploration 4.0, Accessing the WAN