Логика использования виртуальных адресовНа каждом сетевом узле для всех других узлов, с которыми имеет связь данный узел, автоматически формируется один или несколько уникальных виртуальных адресов. Виртуальные адреса никак не зависят от реальных адресов узлов. На каждом узле для других узлов формируется свой набор виртуальных адресов, что позволяет гораздо проще избавиться от возможных конфликтов, которые система в этом случае проверяет только в рамках данного узла. При этом, если не возникает конфликтов, то могут использоваться и реальные адреса удаленных компьютеров. Решение о типе используемого адреса принимается либо автоматически модулем ViPNet, либо определяется настройкой пользователя. Приложения должны использовать именно эти адреса при взаимодействии с соответствующим компьютером. Драйвер ViPNet при получении защищенного пакета из сети всегда при передаче пакета TCP/IP – стеку компьютера подставляет в качестве IP-адреса источника именно тот адрес, который в данный момент соответствует соответствующему узлу. Приложение отвечает на этот адрес. Драйвер, получив пакет, по IP-адресу назначения определяет, какому узлу адресован этот пакет и, произведя необходимые преобразования и подмены адресов, отправляет пакет в сеть. Если приложение получает IP-адреса через службы имен DNS, WINS, NetBIOS, то драйвер обрабатывает эти протоколы и сообщает приложениям (подменяет в IP-пакетах этих протоколов) соответствующие адреса видимости узла (виртуальные или реальные). Виртуальные адреса полностью решают проблему организации соединений между компьютерами, расположенными в подсетях с конфликтующими IP-адресами. Эта ситуация часто встречается при необходимости организации взаимодействия различных организаций между собой, где с большой вероятностью используются одни и те же приватные адреса в их локальных сетях, а также в связи с широким распространением технологий Wireless, xDSL, Home Network и др., где адреса по умолчанию, как правило присваиваются из одной и той же подсети, например 192.168.*.*. Другой областью использования виртуальных адресов является возможность их применения для разграничения доступа к информационным базам данных или другим ресурсам, где в качестве критерия разграничения доступа может использоваться IP-адрес. В таком приложении следует задать соответствующие виртуальные адреса узлов, допущенных к тем или иным ресурсам. Драйвер передает приложению принятые пакеты с подменой адреса на виртуальный только в том случае, если пакет удалось расшифровать на ключах отправителя. Таким образом, обеспечивается гарантированная криптографическая защита IP-адреса от подделки, а, следовательно, и надежная криптографическая идентификация удаленного компьютера по его виртуальному IP-адресу. Естественно такую возможность удобно использовать при организации удаленного доступа разных пользователей со своих рабочих мест. В этом случае пользователь с такого рабочего места сможет получить доступ к разрешенному ему ресурсу только, если владеет соответствующими ключами связи. То есть, даже если ему стали известны логины и пароли пользователей других рабочих мест, пользователь не сможет ими воспользоваться, поскольку закрепленный за этим рабочим местом виртуальный IP-адрес подменить невозможно. В этом случае в принципе вообще не нужны логины и пароли. Они потребуются, только если с данного рабочего места требуется организовать разграничение доступа нескольких пользователей. Конечно, для организации разграничения доступа к базам данным можно воспользоваться и механизмами электронной цифровой подписи, криптографический интерфейс к которым предоставляют модули ViPNet.
|
