Во втором случае клиенты и серверы не участвуют в создании защищенного канала — он прокладывается только внутри публичной сети с коммутацией пакетов, например внутри Интернета. Так, канал может быть проложен между сервером удаленного доступа поставщика услуг публичной сети и пограничным маршрутизатором корпоративной сети. Это хорошо масштабируемое решение, управляемое централизовано администраторами как корпоративной сети, так и сети поставщика услуг. Для компьютеров корпоративной сети канал прозрачен — программное обеспечение этих конечных узлов остается без изменений. Такой гибкий подход позволяет легко образовывать новые каналы защищенного взаимодействия между компьютерами независимо от места их расположения. Реализация этого подхода сложнее — нужен стандартный протокол образования защищенного канала, требуется установка у всех поставщиков услуг программного обеспечения, поддерживающего такой протокол, необходима поддержка протокола производителями пограничного коммуникационного оборудования. Однако вариант, когда все заботы по поддержанию защищенного канала берет на себя поставщик услуг публичной сети, оставляет сомнения в надежности защиты: во-первых, незащищенными оказываются каналы доступа к публичной сети, во-вторых, потребитель услуг чувствует себя в полной зависимости от надежности поставщика услуг.
Иерархия технологий защищенного канала
Защищенный канал можно построить с помощью системных средств, реализованных на разных уровнях модели OSI (рис. 24.27).
| Уровнизащищаемыхпротоколов | Протоколызащищенногоканала | Свойства протоколов защищенного канала |
| Прикладнойуровень | S/MIME | |
| |
| Уровеньпредставления | SSL, TLS | Непрозрачностьппа пг\мплм/оимм иооооылмиллть |
| Сеансовыйуровень | | ' Д1т МрП1 ЮЖопИИ, НвЗаВИСИМиС! Ь "от транспортной инфраструктуры |
| Транспортныйуровень | | |
| |
| Сетевойуровень | IPSec | Прозрачность для приложений,OODM^MIIAATL АТ ТЬОиЛПЛПтиЛЫ |
| Канальныйуровень | РРТР | ЗаВИСИМОСТЬ ОТ ТраНСПОрТНОИинфраструктуры |
| Физическийуровень | | |
Рис. 24.27. Протоколы, формирующие защищенный канал на разных уровнях модели OSI
Если защита данных осуществляется средствами верхних уровней (прикладного, представления или сеансового), то такой способ защиты не зависит от технологий транспортировки данных (IP или IPX, Ethernet или ATM), что можно считать несомненным достоинством. В то же время приложения при этом становятся зависимыми от конкретного протокола защищенного канала, так как в них должны быть встроены явные вызовы функций этого протокола.
Защищенный канал, реализованный на самом высоком (прикладном) уровне, защищает только вполне определенную сетевую службу, например файловую, гипертекстовую или почтовую. Так, протокол S/MIME защищает исключительно сообщения электронной почты. При таком подходе для каждой службы необходимо разрабатывать собственную защищенную версию протокола.