Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27033-5-2021 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Безопасность сетей. Часть 5. Обеспечение безопасности межсетевого взаимодействия с помощью виртуальных частных сетей (ВЧС)

     10.1 Обзор


ВЧС проектируются на основе системных ресурсов физической сети, например с помощью технологий шифрования и (или) туннелирования каналов виртуальной сети через реальную сеть.

ВЧС можно реализовать полностью в частной сети под контролем организации-владельца, в общедоступных сетях или с использованием комбинации этих сетей. Существует вполне реальная возможность реализации ВЧС на основе существующих частных глобальных вычислительных сетей (WAN). Однако повсеместное наличие относительно недорогого доступа к Интернету сделало эту публичную сетевую среду экономически эффективным средством поддержки широкополосных ВЧС и ВЧС с удаленным доступом во многих сферах практического применения.

Кроме того, для реализации ВЧС можно использовать защищенные каналы, созданные с помощью туннелей, проходящих через сети поставщиков Интернет-услуг. В этом случае общедоступный Интернет фактически является базовой транспортной системой. Это подразумевает наличие огромной неопределенности в отношении конфиденциальности ВЧС. Туннель представляет собой канал передачи данных между сетевыми устройствами, который устанавливается поверх существующей сетевой инфраструктуры. Туннель обеспечивает прозрачность нормальной работы сети и, в большинстве вариантов практического применения, может использоваться аналогично обычным сетевым соединениям. Его можно с легкостью включать или отключать по мере необходимости без каких-либо изменений в базовой физической сетевой инфраструктуре. Благодаря этому ВЧС, созданная с помощью туннелей, является более гибкой, чем сеть на основе физических соединений.

Туннели могут быть созданы с помощью следующих технологий:

- виртуальных цепей;

- коммутации по меткам;

- инкапсуляции протоколов.

Туннели, создаваемые как виртуальные цепи, как правило, устанавливаются в обычных WAN-системах в качестве выделенных линий с помощью технологий пакетной коммутации (например, Frame Relay или ATM). Данные технологии обеспечивают разделение потоков данных между туннелями.

Коммутация по меткам представляет собой еще один способ создания туннелей. Всем пакетам данных, проходящим в одном туннеле, присваивается одна идентифицирующая метка. Это гарантирует, что пакеты с отличающимися от нее метками будут исключены из указанного сетевого пути.

Несмотря на то что эти методы туннелирования гарантируют правильное разделение данных, проходящих между туннелями и базовыми сетями, они не отвечают общим требованиям к обеспечению конфиденциальности. В целях обеспечения конфиденциальности необходимо использовать технологии шифрования для поддержки должного уровня безопасности.

Туннели ВЧС могут быть созданы на различных уровнях модели OSI. Виртуальные цепи образуют туннели на 2-м уровне. Методы коммутации по меткам позволяют создавать туннели на 2-м или 3-м уровнях. Метод инкапсуляции протокола пригоден для использования на всех уровнях, кроме физического (большинство реализаций расположены на 3-м уровне и выше). Шифрование обеспечивает дополнительный уровень безопасности туннелей, создаваемых на основе технологий виртуальных цепей, коммутации по меткам и инкапсуляции протокола.

Для создания туннелей также применяется метод инкапсуляции протоколов, при котором блок данных одного протокола упаковывается и переносится в другой протокол. Например, упаковка IP-пакета осуществляется посредством туннельного режима протокола IPsec ESP. Вставляется дополнительный IP-заголовок, после чего пакет передается по IP-сети.