VPN и фильтрация трафика

Подсистема VPN, в отличие от Деловой почты, работающей на прикладном уровне, функционирует на сетевом уровне и использует криптографическую подсистему для шифрования и расшифрования IP-трафика, которым компьютер обменивается с другими компьютерами с установленными модулями ViPNet. Для шифрования трафика эта подсистема использует ключи уровня узла («общего коллектива»), то есть доступных для всех пользователей, зарегистрированных на данном узле. Шифрование и фильтрацию сетевого трафика осуществляет специализированный Драйвер ViPNet.

Управление работой драйвера обеспечивает прикладная программа ViPNet – Монитор. Данная программа обеспечивает загрузку драйверу необходимых правил фильтрации открытого и зашифрованного трафика и соответствующей ключевой информации. При этом данная программа использует предоставленные ключевой системой ViPNet возможности для активной аутентификации пользователей, зарегистрированных на данном компьютере, и обеспечивает:

- опционально блокировку управления компьютером через клавиатуру и мышку, блокировку сетевого трафика без ввода пароля и наличия ключевой дискеты (носителя) пользователя;

- загрузку заданных пользователем или администратором персональных правил для данного пользователя по фильтрации открытого и зашифрованного трафика. Это обеспечивает разграничение возможностей разных пользователей по доступу к различным сетевым ресурсам.

Для ViPNet-драйвера конечным объектом при шифровании трафика является IP-пакет. То есть для драйвера не требуется Online процедур для выработки ключей и синхронизации, что обеспечивает мгновенность соединений, точнее отсутствие в необходимости специальных сеансов для организации соединений, что могло бы приводить к задержкам и повлиять на надежность работы различных сетевых служб. При шифровании каждого IP-пакета драйвер вырабатывает случайную синхропосылку (8 байт), выполняет свертку (Хэширование) этой синхропосылки с ключом обмена с соответствующим узлом и полученную последовательность (32 байта) использует в качестве ключа для шифрования IP-пакета. То есть сам ключ обмена никогда непосредственно не используется для шифрования пакета.

Для каждого IP-пакета вырабатывается также имитозащитная сигнатура (4 байта), которая вместе с синхропосылкой и зашифрованным IP-пакетом помещается в новый IP-пакет, отправляемый в сеть. О структуре и преобразованиях IP-пакета будет подробно рассказано ниже.

На схеме 7-б приведен порядок шифрования на сетевом уровне.