Проектирование сквозных систем туннелирования
Проектирование сквозных систем туннелирования
Можно реализовать различные варианты туннелей. Изучение способов шифрования межсетевого интерфейса свидетельствует о стремлении сосредоточиться на методологии туннелирования, подлежащей реализации. Простое правило утверждает: «Когда это возможно, туннели должны удовлетворять требованию сквозной безопасности». Нужно создать такие условия, чтобы только клиент и сервер были в состоянии получить доступ к передающемуся по туннелю трафику и расшифровать его. Хотя межсетевые экраны, маршрутизаторы и даже другие серверы могут быть включены в процесс передачи зашифрованного потока данных, только начальная и конечная точки туннеля должны обладать возможностью стать полноправными участниками обмена данными по туннелю. Конечно, всегда есть возможность обратиться к конечным точкам туннеля с запросом предоставления доступа к части доступной им сети. Это предпочтительнее выполнения на них сервисов, хотя и выходит за рамки компетенции туннеля. Проехав по туннелю под Ла-Маншем из Англии во Францию, далее можно свободно путешествовать по Испании или Германии. В чем проблема? Ведь уже можно гарантировать, что после пересечения Ла-Манша путешественник в море не утонет!
Сквозное туннелирование безукоризненно выполняет следующие три функции:
• устанавливает правильный маршрут от клиента к серверу;
• самостоятельно выполняет процедуру аутентификации и шифрует передаваемые по новому маршруту данные;
• переадресует (перенаправляет) сервисы (forward services) по установленному таким образом соединению.
Перечисленные функции могут быть сведены к единственному шагу, как, например, получение доступа к зашифрованному протоколом SSL Web-сайту путем прохода через проницаемую сеть. Названные три функции могут быть расширены, дополнены и повторно объединены самым различным образом, например для подтверждения подлинности промежуточных хостов (а также подтверждение им своей подлинности) перед разрешением каких-либо попыток аутентификации по пути к конечному адресату. Но эти названные три функции всегда должны быть реализованы, и именно об этом пойдет речь дальше.
Данный текст является ознакомительным фрагментом.