Στην πράξη

 


Η πρώτη χρήση του IPsec αναμένεται να είναι αυτή της υλοποίησης ασφαλών VPNs (Virtual Private Networks) μέσω του Internet και σε επόμενη φάση συνολικά της ανάπτυξης του δικτύου ενδέχεται να γενικευτεί η χρήση του, τουλάχιστον εκεί που απαιτείται είτε πιστοποίηση ταυτότητας, είτε κρυπτογράφηση, είτε και τα δύο (e-mail, εμπορικές συναλλαγές, κ.ά.). Οι ενδιαφερόμενοι για την υλοποίηση ενός τέτοιου ασφαλούς VPN με το θεωρητικό σχήμα που περιγράψαμε, μέσω του Internet, έχουν τρία βασικά ερωτήματα: πώς υλοποιείται, τι είδους ασφάλεια παρέχει και πόσο κοστίζει.

Το πρώτο και σημαντικότερο βήμα, όπως σε όλες τις περιπτώσεις χρήσης τέτοιων τεχνολογιών, είναι να ξεκαθαριστούν οι απαιτήσεις του υποψήφιου χρήστη από την αρχή. Το IPsec είναι κατάλληλο για τις περιπτώσεις εκείνες που η μέσω του δικτύου μεταδιδόμενη πληροφορία είναι εμπιστευτικής φύσης, όπως για παράδειγμα τα ιατρικά δεδομένα ή τα στοιχεία μισθοδοσίας ενός μεγάλου οργανισμού. Επίσης, προσφέρεται για τον έλεγχο πρόσβασης σε εταιρικούς πόρους πιστοποιώντας τη δικτυακή ταυτότητα όποιου επιχειρεί να τους χρησιμοποιήσει, ενώ ασφαλώς, σε υποστηρίζονται και τα δύο ταυτόχρονα, όπου είναι επιθυμητό.

Προσφέρεται όμως μόνο για εκείνες τις περιπτώσεις που δεν υπάρχει άλλος μηχανισμός ασφάλειας σε κάποιο άλλο επίπεδο του OSI. Το IPsec δεν προσθέτει ασφάλεια εκεί που για το σκοπό αυτό χρησιμοποιούνται άλλοι μηχανισμοί, όπως για παράδειγμα σε ένα web session μέσω SSL, στην ανταλλαγή μηνυμάτων ηλεκτρονικού ταχυδρομείου μέσω PGP ή S/MIME, ή στις ηλεκτρονικές εμπορικές συναλλαγές μέσω SET. Σε όλες τις περιπτώσεις αυτές, η ασφάλεια προσφέρεται στο επίπεδο της εφαρμογής και με αποκλειστικά δική της ευθύνη. Στην περίπτωση του IPsec, είναι το δίκτυο και όχι η συγκεκριμένη εφαρμογή που παρέχει την ασφάλεια, οπότε τίθεται ζήτημα επαναπροσδιορισμού των ευθυνών στον τομέα της ασφάλειας (τι ακριβώς και με ποιον τρόπο θα φυλάσσεται) μέσα σε έναν οργανισμό.

Σχήμα 2

 

Τα πακέτα κρυπτογραφούνται και ελέγχονται ο αποστολέας και ο παραλήπτης μόνο όταν βγουν από το ελεγχόμενο εσωτερικό δίκτυο του οργανισμού. Η εφαρμογή της ιδέας στην πράξη μπορεί να γίνει με δύο τρόπους: είτε μεταξύ gateways, είτε μεταξύ συγκεκριμένων hosts. Το ενδιαφέρον εστιάζεται στην πρώτη περίπτωση που αντιστοιχεί στην υλοποίηση δικτύου VPN, μέσω του Internet (Σχήμα 2). Στο σενάριο αυτό, εσωτερικά στον οργανισμό τα πακέτα μεταδίδονται χωρίς ασφάλεια στο επίπεδο του δικτύου, μόνο με αυτή που ενδεχομένως οφείλεται στην εφαρμογή που τα δημιουργεί. Οταν ένα πακέτο προορίζεται για το άλλο τμήμα του VPN δικτύου οπότε πρέπει να περάσει μέσα από το gateway, τότε το τελευταίο είναι υπεύθυνο για την κωδικοποιημένη και πιστοποιημένη μετάδοσή του, προς το gateway του δικτύου προορισμού. Μέσα στο δίκτυο προορισμού το πακέτο ταξιδεύει και πάλι χωρίς ασφάλεια στο φυσικό επίπεδο. Το όλο σχήμα φαίνεται να παρέχει την ασφάλεια της μισθωμένης γραμμής, χωρίς όμως το κόστος της αλλά διαμέσω του Internet.

Η περίπτωση της υλοποίησης IPsec σε επίπεδο hosts προσφέρεται για τις περιπτώσεις εκείνες που υπάρχουν ανομοιογενή εταιρικά δίκτυα, με διαφορετικό Λογισμικό και hardware με μοναδική απαίτηση η επικοινωνία να γίνεται μέσω TCP/IP. Παράδειγμα (μάλλον όχι χαρακτηριστικό για τα ελληνικά δεδομένα) ένας υπολογιστής mainframe ο οποίος εξυπηρετεί πελάτες άλλοι εκ των οποίων τρέχουν προγράμματα προσομοίωσης τερματικών 3270 και άλλοι Java applets σε web browsers. Τότε, χρησιμοποιώντας IPsec μπορούμε να παρακάμψουμε τη χρήση μισθωμένων γραμμών. Τότε, ακόμα και όταν δε διαθέτουμε υλοποίηση του IPsec για μια συγκεκριμένη μηχανή, μπορούμε να χρησιμοποιήσουμε gateway σύμφωνα με το προηγούμενο σχήμα. Τέλος, οι επιλογές για την κρυπτογράφηση των δεδομένων είναι πολλές και αφήνονται στις απαιτήσεις της εκάστοτε περίπτωσης, με παραμέτρους το κόστος, την πολυπλοκότητα και τις επιδόσεις, αλλά και την άδεια της …κυβέρνησης των ΗΠΑ και τις επιδόσεις των απανταχού μαχητών της κρυπτογράφησης.

 

 
 
     

Αρχή σελίδας
 
(c) 2001 created by Magnet Internet Services