Определение, цели и задачи виртуальной частной сети (VPN). Качество обслуживания и защита данных в VPN. Расположение VPN устройств в сети. Схема подключения локальной компьютерной сети к сети Internet с использованием криптографического маршрутизатора.
Аннотация к работе
Под термином ?виртуальная частная сеть (Virtual Private Network - VPN) понимают широкий круг технологий, обеспечивающих безопасную и качественную связь в пределах контролируемой группы пользователей по открытой глобальной сети.
Цель VPN-технологий состоит в максимальной степени обособления потоков данных одного предприятия от потоков данных всех других пользователей публичной сети. Обособленность должна быть обеспечена в отношении параметров пропускной способности потоков и в конфиденциальности передаваемых данных.
VPN можно применять для решения трех разных задач: · для организации глобальной связи между филиалами одной компании (интрасеть), · для соединения частной сети компании с ее деловыми партнерами и клиентами (экстрасеть), · для взаимодействия с корпоративной сетью отдельных мобильных пользователей или работающих дома сотрудников (удаленный доступ).
В качестве среды для создания виртуальных частных сетей выступают сети пакетной коммутации: X.25, FR, ATM, IP (Internet). Наиболее популярны технологии VPN, рассчитанные на использование в среде Internet.
1.2 Качество обслуживания в VPN
Параметрами качества обслуживания в VPN являются характеристики транспортного обслуживания: задержка, вариация задержки и доля потерянных пакетов при транспортировке по сети. Эти параметры оговариваются в соглашении о качестве обслуживания, которое заключается между провайдером сети и клиентом. Для обеспечения качества обслуживания необходимы дополнительные технологические механизмы, встроенные в протоколы и оборудование сети.
Технология FR имеет встроенные возможности для поддержки дифференцированного качества обслуживания для разных виртуальных каналов. Гарантируемыми параметрами качества являются средняя согласованная пропускная способность и максимальная пульсация трафика. Если клиенту нужно передавать разные виды трафика с разным качеством обслуживания, то он просто заказывает несколько виртуальных каналов соответствующего качества.
Технология АТМ имеет более тонкие процедуры поддержания параметров качества обслуживания, чем технология FR. АТМ предоставляет трафику реального времени гарантии по задержкам передаваемых пакетов.
Internet пока не может дать пользователям гарантий дифференцированного обслуживания.
В частных IP-сетях провайдер имеет набор механизмов для дифференцированного обслуживания своих клиентов. К таким механизмам относятся приоритетное обслуживание (обслуживание очередей WFQ), резервирование полосы пропускания ( протокол резервирования ресурсов RSVP),поддержка виртуальных каналов ( протокол коммутации меток MPLS).
1.3 Защита данных в VPN
Для того чтобы виртуальные частные сети использовались как полноценный транспорт для передачи трафика, необходимы не только гарантии на качество передачи, но и гарантии в безопасности передаваемых данных. Многие специалисты, прежде всего, связывают термин ?виртуальные частные сети? именно с безопасностью данных.
При подключении корпоративной сети к любой открытой сети возникает два вида угроз: · несанкционированный доступ к внутренним ресурсам корпоративной сети, полученный злоумышленником в результате логического входа в эту сеть, · несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети.
Для того чтобы виртуальная частная сеть по уровню безопасности приблизилась к истинной частной сети, в которой эти угрозы практически отсутствуют, VPN должна включать средства для отображения угроз как первого, так второго типов. К средствам VPN относится широкий круг устройств безопасности: многофункциональные брандмауэры, маршрутизаторы со встроенными возможностями фильтрации пакетов, proxy-серверы, аппаратные и программные шифраторы передаваемого трафика.. Организация VPN
2.1 VPN устройства
Виртуальные частные сети отличаются друг от друга многими характеристиками: набором функциональных возможностей VPN-устройств, точками размещения VPN-устройств, типом платформы, на которой работают эти устройства, применяемыми протоколами шифрования и аутентификации. Существует несколько типов VPN-устройств: · отдельное аппаратное устройство VPN на основе специализированной ОС реального времени, имеющее два или более сетевых интерфейса и аппаратную криптографическую поддержку, · отдельное программное решение, которое дополняет стандартную операционную систему функциями VPN, · расширение брандмауэра за счет дополнительных функций защищенного канала, · средства VPN, встроенные в маршрутизатор или коммутатор.
Устройства VPN могут играть в виртуальных частных сетях роль шлюза или клиента.
Шлюз VPN - это сетевое устройство, подключенное к нескольким сетям, которое выполняет функции шифрования и аутентификации для многочисленных хостов позади него. Размещение шлюза должно быть аналогично размещению брандмауэра, т.е. таким образом, чтобы через него проходил весь трафик, предназначенный для внутренней корпоративной сети.
Список литературы
1. Денисова Т.Б. Надежность и безопасность услуги VPN, Электросвязь №9, 2005, С20-22.
2. Коваленко И.Н. Методы расчета высоконадежных систем. - Киев. Высшая школа, 1988.
3. Рябинин И.А. Надежность и безопасность структурно-сложных систем. - СПБ.:Политехника, 2000.
4. Олифер В., Олифер Н. Новые технологии и оборудование IP-сетей.-СПБ.:БХВ - Санкт-Петербург, 2000.
5. Шнайер Б. Прикладная криптография. - М.: Триумф, 2002.
6. Столлингс В. Криптография и защита сетей. - М.: Издательский дом «Вильямс», 2001.
7. Петров А.А. Компьютерная безопасность. - М.: ДМК, 2000.
8. Чмора А. Современная прикладная криптография. - М.: Гелиос АРВ, 2002.48
9. Норткатт С., Новак Д. Обнаружение вторжений в сеть. - М.: Лори, 2002.
10. Норткатт С., Купер М., Фирноу М., Фредерик К. Анализ типовых нарушений безопасности в сетях. - М.: Издательский дом «Вильямс», 2001.
12. Грушо А.А., Тимонина Е.Е. Теоретические основы защиты информации. - М.: Издательское агентство «Яхтсмен», 1996.
13. Безкоровайный М.М., Костогрызов А.И., Львов В.М. Инструментально-моделирующий комплекс для оценки качества функционирования информационных систем «КОК». - М.: СИНТЕГ, 2000.
14. Нечаев В.И. Элементы криптографии. Основы теории защиты информации. - М.: Высшая школа, 1999.