Сетевое железо - статьи



         

Общедоступные ключи


Управление ключами является составной частью любой виртуальной частной сети. Протокол IP Security обеспечивает обмен ключами через Internet (Internet Key Exchange, IKE) и поддерживает актуальные значения ключей между любыми двумя участниками туннельной передачи. Однако поддержание всего туннеля в состоянии стопроцентной готовности или его предварительная активизация (bootstrapping) представляет собой серьезную проблему.

Активизация туннеля включает в себя передачу первоначальных ключей между взаимодействующими сторонами, что позволит им начать обмениваться данными в защищенном режиме. После формирования защищенного канала функции контроля за информационной безопасностью переходят к IKE. Чем больше число туннельных каналов, соединяют ли они офисы филиалов компании или отдельных пользователей (последнее встречается чаще), тем сложнее становится процедура их предварительной активизации.

В настоящее время существуют три подхода к решению этой задачи. Первый - наименее привлекательный - основан на вводе ключей вручную. Впрочем, задавать вручную все параметры всех ключей сегодня не возьмется никто, разве что военные. Второй вариант опирается на так называемые секреты (secrets), предварительно заданные сетевым администратором на обоих концах соединения. Это вполне работоспособный алгоритм, но, к сожалению, он плохо масштабируется. Наконец, третий подход требует привлечения независимого "участника", который именуется инфраструктурой общедоступных ключей (PKI) и обеспечивает распределение ключей, а также управление ими.

Задавшись целью протестировать способность VPN-продуктов взаимодействовать со средствами PKI других производителей, мы прибегли к помощи компании Entrust Technologies, одного из ведущих поставщиков продуктов PKI.

В результате проведенного исследования удалось выявить три уровня поддержки инфраструктуры PKI. Верхние строчки в нашем рейтинге заняли разработки TimeStep и Check Point Software, которые позволили построить виртуальную сеть с использованием уже имевшихся средств PKI, извлечь ключи и наладить постоянное взаимодействие с PKI.


Содержание  Назад  Вперед