1. Можно ли, не внося никаких изменений в прикладную программу, использовать протокол IPSec для безопасной передачи данных, генерируемых этой программой? Можно
2. Зачем в системе IPSec наряду с протоколом AH, обеспечивающим целостность и аутентификацию, предусмотрен протокол ESP, также выполняющий эти функции? Протокол ESP кроме целостности и аутентификации обеспечивает также и шифрование данных.
3. Чтобы получатель имел возможность проверить целостность данных, многие протоколы помещают в пакет контрольную сумму. В IPSec для обеспечения целостности используется дайджест. Поясните, в чем разница этих двух подходов. Контрольная сумма используется для обнаружения ошибок, вызванных техническими причинами и не может быть использована для защиты от злоумышленника. Действительно, изменив содержимое пакета, он может соответственно скорректировать контрольную сумму. А при вычислении дайджеста используется секретный параметр, известный только отправителю и получателю.
4. Предположим, на вашем компьютере работают три приложения, данные которых вы хотите передавать в зашифрованном виде своему партнеру, используя для этого протокол IPSec. Сколько безопасных ассоциаций необходимо создать для этого? Сначала заметим, что здесь имеются в виду три сетевых приложения, то есть приложения, состоящие из нескольких частей, каждая из которых работает на отдельном компьютере, которые взаимодействуют через сеть. В данном случае мы имеем два компьютера, на каждом из которых работают по три приложения. Назовем их А наш компьютер, и компьютер B компьютер нашего партнера. Рассмотрим две ситуации. (1) Все приложения предъявляют одни и те же требования к защите трафика. В этом случае целесообразно использовать одну безопасную асоциацию для всего трафика, передаваемого из компьютера А в компьютер В. Заметим, что если бы в условиях задачи не было сказано, что требуется шифровать трафик только в направлении от А к В, то нужно было бы создать два безопасных соединения от А к В и от В к А. (2) Каждое приложение препдъявляет свои особые требования к защите трафика. В этом случае необходимо установить три безопасные ассоциации в направлении от А к В со индивидуальными параметрами защиты, например, для одного приложения обеспечивать только целостность данных, для второго шифровать данные по алгоритму DES, а для третьего шифровать данные по протоколу AES.
5. Сравните транспортный и туннельный режимы IPSec. Какой из них обеспечивает более высокую безопасность? Какой лучше масштабируется? Какой экономичней?
6. Приведите примеры того, как злоумышленник может воспользоваться информацией из заголовка IP. Наболее ценной информацией для злоумышлениика являются IP адреса источника и назначения, которые раскрывают тополгию внутренних сетей и дают возможность осуществлять различные атаки на внуренние хосты, от подмены адресов до DOS атак.
7. Повышает ли безопасность передаваемых данных использование протокола AH в туннельном, а не в транспортном режиме? Да, повышается, так как в туннельном режиме протокол AH защищает весь пакет, включая все поля заголовка исходного пакета, а в транспортном режиме защищаются только неизменяемые в процесс передачи по сети поля заголовка.
8. Какой механизм защиты от дубликатов, навязываемых злоумышленниками, используется в IPSec? Для этого используется инфоримация в поле порядкового номера SN.
9. Заполнитель является еще одним средством обеспечения конфиденциальности. Поясните почему. Заполнитель можно использовать, чтобы скрыть действительный размер пакета.
10. Каким образом шлюз безопасности (SG) определяет, какой вид обработки необходимо применять к каждому из поступающих на него пакетов.
11. Какие свойства реальных частных сетей могут поддерживаться виртуальными частными сетями?
· Безопасность
· Предсказумая производительность
· Независимое адресное пространство
· Независимая сетевая технология
12. Предложите классификацию VPN.
13. Какие технологии в сетях VPN используются, чтобы обеспечить безопасность на основе разграничения трафика? Технологии, использующие технику виртуальных каналов
14. В чем состоят достоинства и недостатки сети VPN уровня 3 по сравнению с сетью VPN уровня 2? Основным достоинством VPN уровня 3 по сравнению с VPN уровня 2 является возможность провайдера предлагать пользователю дополнительные услуги, которые базируются на функциях 3 уровня, например, все сервисы IP сетей, такие как почта, web-хостинг, IP телефония и другие что невозможно сделать, если провайдер ограничивается имитацией для пользователя сети 2 уровня. Недостатками VPN 3 уровня является более высокая их сложность, в том числе более сложно обеспечить безопасность сетей клиентов.
15. Какой недостаток вы считаете основным в сети IPSec VPN? Плохая масштабируемость из-за сложности конфигурирования. Поскольку туннели IPSec двухточечные, то при полносвязной топологии их количество пропорционально N (N 1). Необходимо также учесть еще и непростую задачу поддержания инфраструктуры ключей для всех клиентов IPSec VPN.
16. Опишите механизм, применяемый в технологии MPLS VPN для разграничения адресных пространств сетей разных клиентов.
17. Как формируется таблица VRF?
18. Как могло бы выглядеть маршрутное объявление протокола MP-BGP, работающего на устройстве PE2, полученное в результате трансляции следующего маршрутного объявления, поступившего от устройства CE3 (см. рис. 24.20):
Net = 10.2/16
NextHop = CE3
VPN-IPv4: 123.43.15.3:1:10.2.0.0
Next-Hop = 123.43.15.3
LVPN = 3
RT = Green
19. В сети MPLS VPN пакет снабжается двумя метками внутренней LVPN и внешней L. Какую роль играет каждая из этих меток в продвижении пакета? С помощью внешней метки происходит продвижение пакета через сеть провайдера к соответсвующему PE, а с помощью внутренней метки PE выбирает соответсавующий сайт или стайты VPN и передает пакет из сети провайдера.
20. Вы изучили принципы работы сети MPLS VPN уровня 3 для случая, когда все сайты всех клиентов соединены с магистралью одного поставщика. Попробуйте развить эти принципы для более общего случая, когда магистраль поддерживается несколькими поставщиками (рис. 24.23).
Рис. 24.23. Сеть VPN, построенная на основе сетей трех поставщиков
На этом рисунке сайты трех клиентов, A, B и C, присоединены к сетям поставщиков ISP2 и ISP3. Сети этих поставщиков в свою очередь соединяются друг с другом с помощью сети поставщика ISP1. Примените для решения задания иерархический подход, сделав ISP1 поставщиком верхнего уровня. В этом случае ISP2 и ISP3 будут исполнять для поставщика IPS1 роль клиентов из схемы MPLS VPN. Предложите возможную реализацию идеи иерархии поставщиков MPLS VPN, приняв в качестве основы возможности протокола BGP и идею стека меток MPLS.
Указание: воспользуйтесь ресурсами Интернет, например, http://www.juniper.net/solutions/literature/white_papers/200014.pdf
21. Сравните количество необходимых виртуальных каналов и путей LSP, которые нужно проложить поставщику услуг VPN для двух случаев:
§ поставщик использует сеть Frame Relay для предоставления услуг VPN;
§ поставщик использует сеть IP/MPLS для предоставления услуг VPN.
У поставщика имеется 25 клиентов, сети каждого клиента состоят из 10 сайтов, соединенных с сетью поставщика услуг. Клиентам нужны услуги Интернета, то есть соединения между сайтами клиентов не предусматриваются.
В формулировке вопроса опечатка, нужно читать: «Клиентам нужны услуги интранет, то есть соединения между сайтами различных клиентов не предусматриваются».
Предположим для определенности, что сайты клиентов расположены в 10 различных городах, по 25 в каждом. В каждом городе имеется точка присутствия провайдера, в которой имеется PE, к которому подключены 25 сайтов, каждый из которых принадлежит одному из клиентов.
В случае использования сети Frame Relay провайдер должен соединить для каждого клиента его 10 сайтов по схеме «каждый с каждым» виртуальными каналами. Будем для сравнимости с LSP MPLS считать, что провайдер использует односторонние каналы Frame Relay. В этом случае для одного клиента провайдер должен установить 10 х 9 = 90 виртуальных каналов, а всего для 25 клиентов провайдеру потребуется 2250 односторонних виртуальных каналов.
При использовании MPLS VPN провайдеру необходимо соединить по схеме «каждый с каждым» с помощью LSP свои пограничные маршрутизаторы PE. Так как у провайдера имеется 10 PE, то ему потребуется всего 10 х 9 = 90 LSP, что намного меньше требуемого числа виртуальных каналов Frame Relay. Это преимущество объясняется использованием иерархии меток MPLS.
22. В подразделе «Перемещение пакета по сети MPLS VPN» раздела «Технология MPLS VPN» приведен пример передачи пакета из узла 10.2.1.1/16 сайта 2 сети VPN A к узлу 10.1.0.3/16 сайта 1 той же сети VPN (см. рис. 24.21). Используя рис. 24.21, опишите передачу пакета в обратном направлении, то есть от узла 10.1.0.3/16 к узлу 10.2.1.1/16. Приведите возможное содержимое таблиц маршрутизации CE1 и PE1. Предложите собственные значения для недостающих данных и поместите на рисунок поясняющий текст.