Цели создания виртуальных частных сетей, их классификация. Принцип работы, преимущества и недостатки данной технологии. Процесс обмена данными. Архитектура локальной сети, защита ее сегментов. Структура интегрированной виртуальной защищенной среды.
Современное развитие информационных технологий и, в частности, сети Internet, приводит к необходимости защиты информации, передаваемой в рамках распределенной корпоративной сети, использующей сети открытого доступа. При использовании своих собственных физических каналов доступа эта проблема так остро не стоит, так как в эту сеть не имеет доступа никто из посторонних. Скорее их интересует несколько иная интерпретация вопросов - сколько лет можно не беспокоиться за сохранность своей информации и насколько медленнее будет работать сеть, защищенная с помощью VPN-устройства. Это означает создание логического туннеля в сети Интернет, который соединяет две крайние точки. VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет).Доверительность отношений, безопасность коммуникаций и технических средств, безопасность и достоверность информационных ресурсов в корпоративной сети, взаимодействующей также и с внешними техническими средствами и информационными ресурсами, можно обеспечить только путем создания, в телекоммуникационной инфраструктуре, корпоративной сети интегрированной виртуальной защищенной среды, что и реализует технология VPN. Такая защищенная среда включает: O Распределенную систему межсетевых и персональных сетевых экранов, обеспечивающих также контроль зарегистрированных и блокировку незарегистрированных приложений, пытающихся передавать или принимать трафик, и защищающую как от внешних, так и внутренних сетевых атак. O Распределенную систему шифрования трафика любых приложений и операционной системы, гарантирующую целостность и конфиденциальность информации, как на внешних, так и внутренних коммуникациях, и обеспечивающую разграничение доступа к техническим и информационным ресурсам O Систему электронной цифровой подписи, обеспечивающую достоверность и юридическую значимость документов и совершаемых действий в соответствии с принятым Федеральным законом "Об электронной цифровой подписи".Идея построения собственных виртуальных сетей актуальна в том случае, когда объединять несколько локальных сетей в различных зданиях или организациях для создания собственной сети дорого или слишком долго, однако необходимо обеспечить защиту передаваемых между сегментами сети данных. Впрочем, можно защищать только связи между отдельными компьютерами из различных сегментов, но если корпоративная политика требует обеспечить безопасность большей части информации, то защищать каждый отдельный канал и компьютер становится достаточно сложно. Проблема в том, что у пользователя, как правило, нет достаточной квалификации для поддержания средств защиты информации, а администратор не может эффективно контролировать все компьютеры во всех сегментах организации.
План
Содержание
Введение
1. VPN - Виртуальные частные сети
Что такое VPN
Принцип работы технологии VPN
2. Технология виртуальных защищенных сетей
Обзор технологии VPN
Классификация виртуальных сетей
Процесс обмена данными в VPN
Защищенные протоколы обмена информацией PPTP
Преимущества и недостатки технологии VPN
3. Архитектура виртуальных защищенных сетей
Виртуальные сети внутри локальной сети
Соединение локальной сети с другой локальной сетью и удаленными пользователями
Защита сегментов локальной сети
Произвольная распределенная сеть
Технология «Открытый Интернет»
4. Интегрированная виртуальная защищенная среда
Заключение
Список используемых источников
Введение
Современное развитие информационных технологий и, в частности, сети Internet, приводит к необходимости защиты информации, передаваемой в рамках распределенной корпоративной сети, использующей сети открытого доступа. При использовании своих собственных физических каналов доступа эта проблема так остро не стоит, так как в эту сеть не имеет доступа никто из посторонних. Однако стоимость таких каналов высока, поэтому не каждая компания позволит себе использовать их. В связи с этим Internet является наиболее доступным. Internet является незащищенной сетью, поэтому приходиться изобретать способы защиты конфиденциальных данных, передаваемых по незащищенной сети.
VPN - это технология, которая объединяет доверенные сети, узлы и пользователей через открытые сети, которым нет доверия". На мой взгляд, это наиболее яркий образ технологии, которая получает все большее распространение среди не только технических специалистов, но и среди рядовых пользователей, которым также требуется защищать свою информацию (например, пользователи Internet-банков или Internet-порталов).
Специалисты в области технологии VPN используют сугубо технические понятия, такие как "используемый алгоритм криптографического преобразования", "туннелирование", "сервер сертификатов" и т.д. Но для конечных пользователей эта терминология ничего не скажет. Скорее их интересует несколько иная интерпретация вопросов - сколько лет можно не беспокоиться за сохранность своей информации и насколько медленнее будет работать сеть, защищенная с помощью VPN-устройства.
1. VPN - виртуальные частные сети
Любая организация, будь она производственной, торговой, финансовой компании или государственным учреждением, обязательно сталкивается с вопросом передачи информации между своими филиалами, а также с вопросом защиты этой информации. Не каждая фирма может себе позволить иметь собственные физические каналы доступа, и здесь помогает технология VPN, на основе которой и соединяются все подразделения и филиалы, что обеспечивает достаточную гибкость и одновременно высокую безопасность сети, а также существенную экономию затрат.
Виртуальная частная сеть (VPN - Virtual Private Network) создается на базе общедоступной сети Интернет. И если связь через Интернет имеет свои недостатки, главным из которых является то, что она подвержена потенциальным нарушениям защиты и конфиденциальности, то VPN могут гарантировать, что направляемый через Интернет трафик так же защищен, как и передача внутри локальной сети. В тоже время виртуальные сети обеспечивают существенную экономию затрат по сравнению с содержанием собственной сети глобального масштаба.
1.1 Что такое VPN
Что же такое VPN? Существует множество определений, однако главной отличительной чертой данной технологии является использование сети Internet в качестве магистрали для передачи корпоративного IP-трафика. Сети VPN предназначены для решения задач подключения конечного пользователя к удаленной сети и соединения нескольких локальных сетей. Структура VPN включает в себя каналы глобальной сети, защищенные протоколы и маршрутизаторы.
1.2 Принцип работы технологии VPN
VPN-устройство располагается между внутренней сетью и Интернет на каждом конце соединения. Когда данные передаются через VPN, они исчезают «с поверхности» в точке отправки и вновь появляются только в точке назначения. Этот процесс принято называть «туннелированием». Это означает создание логического туннеля в сети Интернет, который соединяет две крайние точки. Благодаря туннелированию частная информация становится невидимой для других пользователей Интернета. Прежде чем попасть в интернет-туннель, данные шифруются, что обеспечивает их дополнительную защиту. Протоколы шифрования бывают разные. Все зависит от того, какой протокол туннелирования поддерживается тем или иным VPN-решением. Еще одной важной характеристикой VPN-решений является диапазон поддерживаемых протоколов аутентификации. Большинство популярных продуктов работают со стандартами, основанными на использовании открытого ключа, такими как X.509. Это означает, что, усилив свою виртуальную частную сеть соответствующим протоколом аутентификации, вы сможете гарантировать, что доступ к вашим защищенным туннелям получат только известные вам люди.
Рисунок 1. Принцип работы технологии VPN
2. Технология виртуальных защищенных сетей
2.1 Обзор технологии VPN
Технология VPN создает виртуальные каналы связи через общедоступные сети, так называемые «VPN-туннели». Трафик, проходящий через туннели, связывающие удаленные филиалы, шифруется. Злоумышленник, перехвативший шифрованную информацию, не сможет просмотреть ее, так как не имеет ключа для расшифровки.
Для пользователей VPN-туннели абсолютно прозрачны. К примеру, студент МИРЭА получает доступ к данными, находящимся в базе данных МИЭМ также просто, как и к данным у себя в институте. Таким образом, VPN это логическая сеть. Она создается поверх другой сети, например, интернет. Несмотря на то, что коммуникации осуществляются по публичным сетям, с использованием небезопасных протоколов, за счет шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько филиалов ВУЗА в единую сеть с использованием для связи между ними неподконтрольных каналов.
Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол - IP (такой способ использует реализация PPTP - Point-to-Point Tunneling Protocol) или Ethernet (PPPOE). Технология VPN последнее время используется не только для создания собственно частных сетей, но и некоторыми провайдерами для предоставления выхода в Интернет.
VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удаленного пользователя к VPN производится посредством сервера доступа, который подключен как к внутренней, так и к внешней (общедоступной) сети. При подключении удаленного пользователя (либо при установке соединения с другой защищенной сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удаленный пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.
Одним из главных достоинств Internet является то, что она широкодоступна. Однако связь через Internet имеет свои недостатки, главным из которых является то, что она подвержена потенциальным нарушениям защиты и конфиденциальности. При использовании Internet в качестве расширения собственной сети, информация проходит по общедоступным каналам, и всякий, кто может установить на ее пути анализатор протоколов, имеет потенциальную возможность перехватить эту информацию. И здесь на помощь приходит технология VPN. Виртуальные частные сети могут гарантировать, что направляемый через Internet трафик так же защищен, как и передачи внутри локальной сети, при сохранении всех финансовых преимуществ, которые можно получить, используя Internet. Современное состояние технологии VPN позволяет обеспечить достаточную гибкость на случай будущего расширения сети при сохранении высокой надежности и безопасности. А главное, виртуальные сети обеспечивают существенную экономию затрат по сравнению с содержанием собственной сети глобального масштаба. Однако при этом надо помнить, что внедрение решений на основе VPN может привести к снижению производительности и потребовать значительных начальных затрат. Поэтому решение вопроса о выборе VPN или альтернативного решения требует тщательного анализа.
VPN-устройство располагается между внутренней сетью и Internet на каждом конце соединения. Когда информация передается через VPN, она исчезает "с поверхности" в точке отправки и вновь появляется только в точке назначения. Этот процесс принято называть "туннелированием". Как можно догадаться из названия, это означает создание логического туннеля в сети Internet, который соединяет две крайние точки. Благодаря туннелированию частная информация становится невидимой для других пользователей Web. Прежде чем попасть в Internet-туннель, данные еще и шифруются, что обеспечивает их дополнительную защиту. Протоколы шифрования бывают разные. Все зависит от того, какой протокол туннелирования поддерживается тем или иным VPN-решением. IPSEC поддерживает самый широкий спектр стандартов шифрования, включая DES (Data Encryption Standard) и Triple DES. Еще одной важной характеристикой VPN-решений является диапазон поддерживаемых протоколов аутентификации. Большинство популярных продуктов работают со стандартами, основанными на использовании открытого ключа, такими как X.509. Это означает, что, усилив свою виртуальную частную сеть соответствующим протоколом аутентификации, вы сможете гарантировать, что доступ к вашим защищенным туннелям получат только известные вам люди.
Виртуальные частные сети часто используются в сочетании с межсетевыми экранами. Ведь VPN обеспечивает защиту корпоративных данных только во время их движения по Internet и не может защитить внутреннюю сеть от проникновения злоумышленников.
2.2 Классификация виртуальных сетей
Классифицировать VPN решения можно по нескольким основным параметрам:
По типу используемой среды: O Защищенные. Наиболее распространенный вариант приватных частных сетей. C его помощью возможно создать надежную и защищенную подсеть на основе ненадежной сети, как правило, Интернета. Примером защищенных VPN являются: IPSEC, OPENVPN и PPTP.
O Доверительные. Используются в случаях, когда передающую среду можно считать надежной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Вопросы обеспечения безопасности становятся неактуальными. Примерами подобных VPN-решений являются: Multi-protocol label switching (MPLS) и L2TP (Layer 2 Tunneling Protocol). (Корректнее сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSEC)
По способу реализации: O В виде специального программно-аппаратного обеспечения. Реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищенности.
O В виде программного решения. Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.
O Интегрированное решение. Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.
По назначению: O Intranet VPN. Используют для объединения в единую защищенную сеть нескольких распределенных филиалов одной организации, обменивающихся данными по открытым каналам связи.
O Remote Access VPN. Используют для создания защищенного канала между сегментом корпоративной сети (центральным зданием или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера или, находясь в командировке, подключается к корпоративным ресурсам при помощи ноутбука.
O Extranet VPN. Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам ВУЗА, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.
По типу протокола: существуют реализации виртуальных частных сетей под TCP/IP, IPX и APPLETALK. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его.
По уровню сетевого протокола: на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.
2.3 Процесс обмена данными в VPN
Назначение VPN - предоставить пользователям защищенное соединение к внутренней сети изза пределов ее периметра, например, через интернет-провайдера. Основное преимущество VPN состоит в том, что пока программное обеспечение его поддерживает, пользователь может подключаться к внутренней сети через любое внешнее соединение. Это означает, что высокоскоростные устройства, например, ADSL, могут обеспечивать соединение с внутренней сетью и функционировать с полной нагрузкой. Это особенно удобно для пользователей, постоянно работающих на дому.
Существует два основных типа VPN. Первое решение основано на специальном оборудовании; на сервере и клиенте устанавливается специальное программное обеспечение, обеспечивающее защищенное соединение. Второй тип решения - это управляемый VPN. В этом сценарии некоторый провайдер предоставляет пользователям возможность дозвона на свой модемный пул, а затем устанавливать защищенное соединение с вашей внутренней сетью. Преимущество этого метода состоит в том, что все управление VPN перекладывается на другую компанию. Недостатком является то, что как правило эти решения ограничиваются модемными соединениями, что зачастую сводит на нет преимущества технологии VPN.
VPN использует несколько разных технологий защиты пакетов. Целью VPN является создание защищенного туннеля между удаленным компьютером и внутренней сетью. Туннель передает и кодирует трафик через незащищенный мир Интернет. Это означает, что два сайта ВУЗА могут использовать VPN для связи друг с другом. Логически это работает как WAN-связь между сайтами.
Вы также можете использовать комбинацию Службы Удаленного Доступа (RAS) и VPN для осуществления безопасной связи между кампусами, как показано на рисунке:
Удаленный пользователь дозванивается на RAS
1. RAS аутентифицирует пользователя.
2. Удаленный пользователь запрашивает файл с кампуса В и этот запрос посылается на сервер VPN.
3. Сервер VPN отправляет запрос через межсетевой экран и далее через Интернет на удаленный кампус.
4. Сервер VPN в удаленном кампусе получает запрос и устанавливает защищенный канал между кампусами А и В.
После установления туннеля, файл пересылается с кампуса В в кампус А через сервер VPN, а затем удаленному пользователю.
2.4 Защищенные протоколы обмена информацией PPTP
PPTP обеспечивает безопасность инкапсуляцией кадра PPP в датаграмму IP, передаваемую между сетями. PPTP может использоваться в схемах LAN-to-LAN и WAN-to-WAN. PPTP использует такой же механизм аутентификации, что и PPP. В нем могут использоваться CHAP, Microsoft CHAP (MS-CHAP), PAP, Shiva PAP (SPAP), и Extensible Authentication Protocol (EAP). PPTP может шифровать трафик IP, IPX или NETBEUI. Туннели устанавливаются, когда оба конца договариваются о параметрах соединения. Сюда включается согласование адресов, параметры сжатия, тип шифрования. Сам туннель управляется посредством протокола управления туннелем.
PPTP включает много полезных функций. Среди них сжатие и шифрование данных, разнообразие методов аутентификации. PPTP доступен во всех текущих платформах Windows.
L2TP PPTP был (и остается) хорошей идеей, но вытесняется другими технологиями. Протокол Layer 2 Tunneling Protocol (L2TP) является комбинацией протоколов PPTP и L2F, предложенный компанией Cisco.
Оба протокола очень сходны по функциям, поэтому IETF предложила объединить их в один. В результате появился L2TP, описанный в RFC 2661. L2TP использует достоинства как PPTP, так и L2F.
L2TP инкапсулирует кадры как сообщения UDP и передает их по сети IP. Эти сообщения используются для управления и передачи данных Для шифрования используется IPSEC. Как и PPTP, L2TP использует методы те же аутентификации, что и PPP. L2TP также подразумевает существование межсетевого пространства между клиентом L2TP и сервером L2TP. Поскольку управлением туннелем L2TP производится по тому же UDP-соединению, что и передача данных, оба типа пакетов имеют одинаковую структуру. Стандартный порт L2TP для сервера и клиента в Windows 2000 - 1701 UDP.
Что же в результате выбрать? Если для PPTP необходима межсетевая среда на базе IP, то L2TP нуждается в соединении "точка-точка". Это означает, что L2TP может использоваться поверх IP, Frame Relay, X.25, ATM. L2TP позволяет иметь несколько туннелей. PPTP ограничен одним туннелем. L2TP разрешает аутентификацию туннеля Layer 2, а PPTP - нет. Однако, это преимущество игнорируется, если вы используете IPSEC, поскольку в этом случае туннель аутентифицируется независимо от Layer 2. И наконец, размер пакета L2TP на 2 байта меньше за счет сжатия заголовка пакета.
IPSEC
IPSEC (сокращение от IP Security) - набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPSEC также включает в себя протоколы для защищенного обмена ключами в сети Интернет.
IPSEC является неотъемлемой частью IPV6 - интернет-протокола следующего поколения, и необязательным расширением существующей версии интернет-протокола IPV4. Первоначально протоколы IPSEC были определены в RFC с номерами от 1825 до 1827, принятые в 1995 году. В 1998 году были приняты новые редакции стандартов (RFC с 2401 по 2412), несовместимые с RFC 1825-1827. В 2005 году была принята третья редакция, незначительно отличающаяся от предыдущей.
Протоколы IPSEC работают на сетевом уровне (слой 3 модели OSI). Другие широко распространенные защищенные протоколы сети Интернет, такие как SSL и TLS, работают на транспортном уровне (слои OSI 4 - 7). Это делает IPSEC более гибким, поскольку IPSEC может использоваться для защиты любых протоколов базирующихся на TCP и UDP. В то же время увеличивается его сложность изза невозможности использовать протокол TCP (слой OSI 4) для обеспечения надежной передачи данных.
IPSEC-протоколы можно разделить на два класса: протоколы, отвечающие за защиту потока передаваемых пакетов и протоколы обмена криптографическими ключами. На настоящий момент определен только один протокол обмена криптографическими ключами - IKE (Internet Key Exchange). Два протокола обеспечивающие защиту передаваемого потока - ESP (Encapsulating Security Payload - инкапсуляция зашифрованных данных) обеспечивает целостность и конфиденциальность передаваемых данных, в то время как AH (Authentication Header - аутентифицирующий заголовок) гарантирует только целостность потока (передаваемые данные не шифруются).
Протоколы защиты передаваемого потока могут работать в двух режимах - в транспортном режиме, и в режиме туннелирования. При работе в транспортном режиме IPSEC работает только с информацией транспортного уровня, в режиме туннелирования - с целыми IP-пакетами.
IPSEC-трафик может маршрутизироваться по тем же правилам, что и остальные IP-протоколы, но, так как маршрутизатор не всегда может извлечь информацию характерную для протоколов транспортного уровня, то прохождение IPSEC через NAT-шлюзы невозможно. Для решения этой проблемы IETF определила способ инкапсуляции ESP в UDP получивший название NAT-T (NAT traversal).
IPSEC можно рассматривать как границу между внутренней (защищенной) и внешней (незащищенной) сетью. Эта граница может быть реализована как на отдельном хосте, так и на шлюзе, защищающем локальную сеть. Заголовок любого пакета, проходящего через границу, анализируется на соответствие политикам безопасности, то есть критериям, заданным администратором. Пакет может быть либо передан дальше без изменений, либо уничтожен, либо обработан с помощью протоколов защиты данных. Для защиты данных создаются так называемые SA (Security Associations) - безопасные соединения, представляющие собой виртуальные однонаправленные каналы для передачи данных. Для двунаправленной связи требуется два SA.
2.5 Преимущества и недостатки технологии VPN
Преимущества VPN очевидны. Предоставив пользователям возможность соединяться через Интернет, масштабируемость достигается в основном увеличением пропускной способности канала связи, когда сеть становится перегруженной. VPN помогает сэкономить на телефонных расходах, поскольку вам не требуется иметь дело с пулом модемов. Кроме того, VPN позволяют получить доступ к сетевым ресурсам, которые в обычной ситуации администраторы вынуждены выносить на внешнее соединение.
Итак, VPN обеспечивает: O Защищенные каналы связи по цене доступа в Интернет, что в несколько раз дешевле выделенных линий;
O При установке VPN не требуется изменять топологию сетей, переписывать приложения, обучать пользователей - все это значительная экономия;
O обеспечивается масштабирование, поскольку VPN не создает проблем роста и сохраняет сделанные инвестиции;
O Независимость от криптографии и можете использовать модули криптографии любых производителей в соответствии с национальными стандартами той или иной страны;
O открытые интерфейсы позволяют интегрировать вашу сеть с другими программными продуктами и бизнес-приложениями.
К недостаткам VPN можно отнести сравнительно низкую надежность. В сравнении с выделенными линиями и сетями на основе Frame relay виртуальные частные сети менее надежны, однако в 5-10, а иногда и в 20 раз дешевле. По мнению аналитиков, это не остановит VPN, это не существенно для большинства пользователей.
В силу того, что услуга VPN предоставляется и поддерживается внешним оператором, могут возникать проблемы со скоростью внесения изменений в базы доступа, в настройки firewall, а также с восстановлением сломанного оборудования. В настоящее время проблема решается указанием в договорах максимального времени на устранение неполадок и внесение изменений. Обычно это время составляет несколько часов, но встречаются провайдеры, гарантирующие устранение неполадок в течение суток.
Еще один существенный недостаток - у потребителей нет удобных средств управления VPN. Хотя в последнее время разрабатывается оборудование, позволяющее автоматизировать управление VPN. Среди лидеров этого процесса - компания Indus River Networks Inc., дочерняя компания MCI WORLDCOM и Novell. В перспективе VPN сеть должна контролироваться пользователями, управляться компаниями-операторами, а задача разработчиков программного обеспечения - решить эту проблему.
3. Архитектура виртуальных защищенных сетей
Можно выделить четыре основных варианта построения сети VPN, которые используются во всем мире. Данная классификация предлагается компанией Check Point Software Technologies, которая не без основания считается основной в области VPN.
Intranet VPN
Это объединение в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи. Именно этот вариант получил широкое распространение во всем мире, и именно его в первую очередь реализуют компании-разработчики.
Remote Access VPN
Этот вариант позволяет реализовать защищенное взаимодействие между сегментом корпоративной сети (центральным зданием или филиалом) и одиночным пользователем, который подключается к корпоративным ресурсам из дома (домашний пользователь) или через notebook (мобильный пользователь). Данный вариант отличается от первого тем, что удаленный пользователь, как правило, не имеет статического адреса, и он подключается к защищаемому ресурсу не через выделенное устройство VPN, а прямиком со своего собственного компьютера, на котором и устанавливается программное обеспечение, реализующее функции VPN. Компонент VPN для удаленного пользователя может быть выполнен как в программном, так и в программно-аппаратном виде. В первом случае программное обеспечение может быть как встроенным в операционную систему (например, в Windows 2000), так и разработанным специально (например, АП "Континент-К"). Во втором случае для реализации VPN используются небольшие устройства класса SOHO (Small Office\Home Office), которые не требуют серьезной настройки и могут быть использованы даже неквалифицированным персоналом. Такие устройства получают сейчас широкое распространение за рубежом.
Client/Server VPN
Он обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например, между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда в одной физической сети необходимо создать несколько логических сетей. Например, когда надо разделить трафик между финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, описанную выше. Но вместо разделения трафика, используется его шифрование.
Extranet VPN
Предназначен для тех сетей, к которым подключаются так называемые пользователи "со стороны" (партнеры, заказчики, клиенты и т.д.), уровень доверия к которым намного ниже, чем к своим сотрудникам. Хотя по статистике чаще всего именно сотрудники являются причиной компьютерных преступлений и злоупотреблений.
Средства построения VPN могут быть реализованы по-разному.
В виде специализированного программно-аппаратного обеспечения, предназначенного именно для решения задач VPN. Примером такого решения является российский комплекс "Континент-К", имеющий необходимые разрешительные документы от Гостехкомиссии и ФАПСИ. Основное преимущество таких устройств - их высокая производительность и, более высокая по сравнению с другими решениями, защищенность. Такие устройства могут применяться в тех случаях, когда необходимо обеспечить защищенный доступ большого числа абонентов. Недостаток таких решений состоит в том, что управляются они отдельно от других решений по безопасности, что усложняет задачу администрирования инфраструктуры безопасности, особенно при условии нехватки сотрудников отдела защиты информации. На первое место эта проблема выходит при построении крупной и территориально-распределенной сети, насчитывающей десятки устройств построения VPN. И это не считая такого же числа межсетевых экранов, систем обнаружения атак и т.д. Примером такого решения является Cisco 1720 или Cisco 3000.
В виде программного решения, устанавливаемого на обычный компьютер, функционирующий, как правило, под управлением операционной системы Unix. Российские разработчики "полюбили" ОС FREEBSD. Именно на ее изученной "вдоль и поперек" базе построены отечественные решения "Континент-К" и "Шип". Для ускорения обработки трафика могут быть использованы специальные аппаратные ускорители, заменяющие функции программного шифрования. Также в виде программного решения реализуется абонентские пункты, предназначенные для подключения к защищаемой сети удаленных и мобильных пользователей.
Интегрированные решения, в которых функции построения VPN реализуются наряду с функцией фильтрации сетевого трафика, обеспечения качества обслуживания или распределения полосы пропускания. Основное преимущество такого решения - централизованное управление всеми компонентами с единой консоли. Второе преимущество - более низкая стоимость в расчете на каждый компонент по сравнению с ситуацией, когда такие компоненты приобретаются отдельно. Пожалуй, самым известным примером такого интегрированного решения является VPN-1 от компании Check Point Software, включающий в себя помимо VPN-модуля, модуль, реализующий функции межсетевого экрана, модуль, отвечающий за балансировку нагрузки, распределение полосы пропускания и т.д. Кроме того, это решение имеет сертификат Гостехкомиссии России.
3.1 Виртуальные сети внутри локальной сети
Внутри локальной сети путем установки ПО VIPNET[клиент] на различные рабочие станции и сервера могут быть созданы взаимно - недоступные виртуальные защищенные контура для обеспечения функционирования в единой телекоммуникационной среде различных по конфиденциальности или назначению информационных задач.
Любой трафик между двумя компьютерами недоступен никому третьему из любой точки сети. Несанкционированный доступ из сети на защищенные компьютеры невозможен. ПО VIPNET [координатор] обеспечивает организацию работы виртуальной сети.
3.2 Соединение локальной сети с другой локальной сетью и удаленными пользователями
Внутри распределенной сети путем установки ПО VIPNET [клиент] на различные рабочие станции и сервера могут быть созданы взаимно - недоступные виртуальные защищенные контура для обеспечения функционирования в единой телекоммуникационной среде различных по конфиденциальности или назначению информационных задач.
VIPNET[координаторы], установленные на входах в локальную сеть, обеспечивают как туннелирование (шифрование) трафика заданных адресов открытых компьютеров внутри локальной сети, так и организацию установки защищенного соединения непосредственно между компьютерами с ПО VIPNET[клиент]. Естественно во втором случае можно добиться полной защиты от возможных атак из подсоединяемой локальной сети.
Установка ПО VIPNET[клиент] на мобильный компьютер обеспечивает возможность его работы в корпоративной сети, при этом эффективные атаки на этот компьютер из внешней сети или через этот компьютер на локальные сети невозможны.
3.3 Защита сегментов локальной сети
При необходимости защиты обращения к доверенным сегментам локальной сети такой сегмент (например, группа серверов) может быть спрятан также за VIPNET[координатор]. Тогда обращение к этому сегменту снаружи будет происходить через два координатора, а при необходимости еще и через некоторый внешний Firewall, то есть обеспечивается возможность каскадирования координаторов. Такие обращения будут защищены от атак как снаружи данной локальной сети, так и из самой локальной сети.
3.4 Произвольная распределенная сеть
В распределенной сети любой конфигурации с любыми каналами связи и сетями может быть легко организована виртуальная защищенная сеть для безопасного и достоверного информационного взаимодействия.
3.5 Технология «Открытый Интернет»
Путем установки на выходе из локальной сети специального VIPNET[координатора] (Координатор «D») внутри распределенной сети может быть организован виртуальный контур частично или полностью изолированный от остальной сети, компьютеры которого могут получать доступ к открытым ресурсам Интернет. При этом весь потенциально опасный открытый трафик из Интернет зашифровывается на Координаторе «D» и может быть расшифрован только на компьютерах локальной сети, включенных в этот виртуальный контур. Любые стратегии атак извне не могут нанести вреда остальным ресурсам локальной сети. ПО. VIPNET[клиент] при работе станции в Интернет полностью блокирует любой иной трафик данной станции в локальной сети.
Установкой распределенной системы программных сетевых экранов и средств VPN на различные компьютеры можно добиться наиболее оптимальной и эффективной степени защиты ресурсов и информации в корпоративной сети от любых посягательств, исходя из важности информационного объекта и требуемой надежности защиты.
С использованием предлагаемой технологии легко также обеспечивается защита таких служб, как Voice IP, видео конференции, систем удаленного управления различными маршрутизаторами, цифровыми телефонными станциями, других систем удаленного управления и доступа.
Вывод
Идея построения собственных виртуальных сетей актуальна в том случае, когда объединять несколько локальных сетей в различных зданиях или организациях для создания собственной сети дорого или слишком долго, однако необходимо обеспечить защиту передаваемых между сегментами сети данных. Ведь далеко не всегда позволительно передавать данные по общедоступным сетям в открытом виде. Впрочем, можно защищать только связи между отдельными компьютерами из различных сегментов, но если корпоративная политика требует обеспечить безопасность большей части информации, то защищать каждый отдельный канал и компьютер становится достаточно сложно. Проблема в том, что у пользователя, как правило, нет достаточной квалификации для поддержания средств защиты информации, а администратор не может эффективно контролировать все компьютеры во всех сегментах организации.
Кроме того, при защите отдельных каналов инфраструктура корпоративной сети остается прозрачной для внешнего наблюдателя. Для решения этих и некоторых других проблем применяется архитектура VPN, при использовании которой весь поток информации, передаваемый по общедоступным сетям, шифруется с помощью так называемых "канальных шифраторов".
Построение VPN позволяет защитить виртуальную корпоративную сеть так же надежно, как и собственную сеть (а иногда даже и лучше). Данная технология сейчас бурно развивается, и в этой области уже предлагаются достаточно надежные решения. Как правило, технология VPN объединяется с межсетевыми экранами (firewall). Собственно, все основные межсетевые экраны дают возможность создания на их базе виртуальной корпоративной сети.
Список литературы
1. Броко О. Высококачественный 10-разрядный аналого-цифровой преобразователь. // Электроника, 1978. ? Т.51. ? №8. ? С. 25-34.
2. Белох Н.В., Петраков Р.Я., Руссков В.П. Доходы, предположения и цены - проблема сбалансированности // Изд. АН СССР. Сер. экон. - 1982. ? №2. ? С. 71-77.
3. ГОСТ 19480-74 Микросхемы интегральные. Термины, определения и буквенные обозначения электрических параметров.
4. Рекомендации. Единая система конструкторской документации. Правила выполнения диаграмм. Р 50-70-88.
5. Пат. 2103827 RU CI, МПК 6 Н 04 J 11/00,QH 04 Q 11/00. многоканальная система связи / В.И. Ледовский.
6. http://www.connect.ru/article.asp?id=5343 - Журнал Connect: технология VPN.
Размещено на
Вы можете ЗАГРУЗИТЬ и ПОВЫСИТЬ уникальность своей работы