Система аутентификации Третьим
компонентом
архитектуры
VPN является
система аутентификации . Как уже говорилось ранее,
система аутентификации VPN должна быть двухфакторной. Пользователи могут проходить аутентификацию с
использованием того, что они знают, того, что у них есть или с помощью данных о
том, кем они являются. При использовании пользовательских
VPN тдается
предпочтение первым двум вариантам.
Хорошей комбинацией средств аутентификации являются смарт-карты в
паре с персональным идентификационным номером или паролем. Производители
программного обеспечения, как правило, предоставляют организациям на выбор
несколько систем аутентификации. В данном перечне присутствуют ведущие
производители смарт-карт.
Использование смарт-карт повлечет за собой увеличение стоимости
использования
VPN для каждого пользователя. Несмотря на то, что это
обстоятельство повысит
стоимость использования соединения, обеспечение более
высокого уровня защиты этого стоит.
Если в организации предпочитают при использовании
VPN полагаться
только на пароли, они должны быть мощными (как
минимум , сочетание из восьми
букв, цифр и специальных символов) и регулярно изменяться (каждые 30 дней).
Протокол VPN Протокол
VPN определяет, каким образом система
VPN взаимодействует с
другими системами в интернете, а также уровень защищенности трафика. Если
рассматриваемая организация использует
VPN только для внутреннего
информационного обмена, вопрос о взаимодействии можно оставить без внимания.
Однако если организация использует
VPN для соединения с другими
организациями, собственные протоколы использовать, скорее всего, не удастся. В
разговоре об алгоритме шифрования было упомянуто, что внешние окружающие
факторы могут оказывать большее влияние на
безопасность системы , чем
алгоритм шифрования. Протокол
VPN оказывает влияние на общий
уровень
безопасности системы . Причиной этому является тот факт, что
протокол
VPN используется для обмена ключами шифрования между двумя
конечными узлами. Если этот обмен не защищен,
злоумышленник может
перехватить ключи и затем расшифровать трафик, сведя на нет все
преимущества
VPN .
При соединении рекомендуется использовать
стандартные протоколы . В
настоящее время
стандартным протоколом для
VPN является
IPSec . Этот
протокол представляет собой
дополнение к
IP , осуществляющее инкапсуляцию
и
шифрование заголовка
TCP и полезной информации, содержащейся в
пакете.
IPSec также поддерживает обмен ключами, удаленную аутентификацию
сайтов и согласование алгоритмов (как алгоритма шифрования, так и хэш-
функции).
IPSec использует
UDP -
порт 500 для начального согласования, после
95
чего используется
IP -протокол 50 для всего трафика. Для правильного
функционирования
VPN эти протоколы должны быть разрешены.