2.4 VPN решения

2.4.1 Варианты реализации VPN

Широкое распространение глобальных сетей передачи данных предоставляет возможность объединять территориально разбросанные локальные сети организаций для создания так называемых частных виртуальных сетей (VPN). Глобальные сети в этом случае выступают как транспортный компонент, объединяющий локальные сети в единую информационно-вычислительную систему. Создание VPN велось и до стремительного роста глобальных сетей, однако для их объединения служили выделенные каналы передачи данных, что приводило:

· к высокой стоимости аренды выделенных каналов связи;

· к жесткой привязанности к местоположению. Например, в случае переезда офиса компании с развернутым сегментом локальной сети, связанным выделенным каналом с общей сетью предприятия, возникали дополнительные проблемы с последующим подключением локальной и общей сетей.

Рисунок 2.4. Территориально-распределенная КИС основанная на технологии VPN.

Использование коммутируемых каналов глобальных сетей передачи данных позволило добиться гибкости, масштабируемости и универсальности при построении VPN. Кроме того, расширение Internet позволило многим компаниям перевести часть персонала на домашний режим работы. В этом случае сотрудник имеет постоянную связь с фирмой в рамках, например, системы электронного документооборота, при этом проблемы связи его с сетью офиса решаются посредством провайдеров.

Необходимость в обеспечении безопасности сетей на основе протокола IP постоянно возрастает. В современном, сильно связанном мире бизнеса при наличии Интернета, интрасетей, дочерних отделений и удаленного доступа критически важная информация постоянно перемещается через границы сетей. Задача сетевых администраторов и других специалистов информационных служб состоит в том, чтобы этот трафик не допускал:

· модификацию данных во время их передачи по каналам,

· перехват, просмотр или копирование,

· доступ к данным со стороны неавторизованных пользователей.

Указанные проблемы известны как обеспечение целостности данных, конфиденциальности и аутентификации. Кроме того, необходима защита от воспроизведения информации.

Для решения проблемы передачи информации через открытые каналы интернет используют VPN решения. VPN- это объединение ряда локальных сетей, подключенных к сети общего назначения, в единую виртуальную (логически выделенную) сеть. VPN средства организовывают защищенный туннель между двумя точками средствами криптографии. При этом они предоставляют широкие возможности по выборам алгоритмов аутентификации, шифрования и проверки целостности потока данных [27].

При использовании VPN ресурсы компании могут быть легко консолидированы и употреблены с большей эффективностью. По причине того, что VPN может работать по сети интернет, у компании не возникнет значительных затрат связанных с покупкой дополнительного оборудования и арендой линий связи. Использование выделенных (арендованных) линий связи может привести к повышению издержек до сотен тысяч долларов, а такие затраты весьма сложно оправдать.

К тому же главным достоинством VPN является возможность обеспечения безопасности множества коммуникационных потоков посредством одного механизма. При VPN- соединении web, e-mail, ftp, интернет-видеоконференции и любые другие потоки данных, использующие протокол TCP/IP, защищены от любопытных глаз. Более конкретно - потоки информации защищены от нежелательных получателей с использованием криптографических методов.

С помощью VPN можно избежать ряда угроз. VPN обеспечивает целостность и конфиденциальность данных путем шифрования а также их аутентификацию при помощи использования специальных протоколов и схем аутентификации.

Также средства VPN за счет скрытия информации относящейся к транспорту IP пакетов защищены от ряда сетевых атак, таких как IP-spoofing и hijacking, также они защищены от атак типа man-in-the-middle [28].

Конечно в реализации самого ПО для создания VPN или его аппаратной реализации могут быть уязвимости но как правило на практике используются проверенные временем решения известных разработчиков, которые выпускают постоянные обновления и заплатки для своих продуктов.

Основные требования, которые должны выполнять решения VPN, следующие :

· Аутентификация пользователя. Средство должно аутентифицировать удаленного VPN-клиента и предоставлять доступ только авторизованным пользователям. Оно также должно обеспечивать политику аудита для просмотра активности пользователей: кто, когда и на сколько подключался.

· Управление IP адресами. Средство VPN должно выдавать адреса из подсети и давать гарантию что эти адреса не раскроются.

· Шифрование данных. Данные передаваемые по публичным сетям должны быть нечитаемыми.

· Управление ключевой информацией. VPN-средство должно генерировать ключи для шифрования и обновлять их с определенной периодичностью.

Можно выделить четыре основных варианта построения сети VPN, которые используются при создании корпоративных VPN сетей:

1. Вариант «Intranet VPN», который позволяет объединить в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи. Именно этот вариант получил широкое распространение во всем мире, и именно его в первую очередь реализуют компании-разработчики. Этот вариант представляет собой топологию сеть-сеть. В этой конфигурации каждый шлюз расположен на конце сети и обеспечивает безопасность канала связи между двумя (или более) сетями. Конфигурация этого типа лучше всего подходит для соединения территориально разделенных локальных сетей. Основное преимущество данной конфигурации заключается в том, что удаленные локальные сети в VPN прозрачны для конечного пользователя. Фактически шлюзы VPN являются для пользователей условными маршрутизаторами. Структуры сеть-сеть VPN могут быть использованы для связи внутренних сетей, как если бы они имели смежные каналы. Данные, передаваемые между сетями интранет, сохраняют конфиденциальность во время передачи. Эта схема применима также для внешних сетей (extranet) нескольких компаний, где каждая компания разделяет свои ресурсы только с партнерами по бизнесу.

Рисунок 2.5. Схема подключения сеть-сеть

2. Вариант «Client/Server VPN», который обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда необходимо создать в одной физической, несколько логических сетей. Например, когда требуется разделить трафик между финансовым департаментом и отделом кадров, которые обращаются к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, которая действует на уровне выше канального.

Рисунок 2.6. Подключение к сети VPN двух стационарных компьютеров

3. Вариант «Extranet VPN» предназначен для тех сетей, куда подключаются так называемые пользователи со стороны, уровень доверия к которым намного ниже, чем к своим сотрудникам. Примером Extranet VPN является объединение сетей различных корпорация для ведения совместной деятельности.

4. Вариант «Remote Access VPN», позволяющий реализовать защищенное взаимодействие между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который подключается к корпоративным ресурсам из дома (домашний пользователь) или через notebook (мобильный пользователь). Данный вариант отличается тем, что удаленный пользователь, как правило, не имеет «статического» адреса и

подключается к защищаемому ресурсу не через выделенное устройство VPN, а напрямую с собственного компьютера, где и устанавливается программное обеспечение, реализующее функции VPN. Простой способ обеспечить мобильным пользователям возможность соединения с корпоративной сетью дает виртуальная защищенная сеть, или структура, хост-сеть VPN. В конфигурации такого рода каждый хост независимо связывается с локальной сетью через шлюз VPN. Каждый хост аутентифицируется, и для него организуется VPN-туннель. Мобильный хост может быть присоединен любым способом, будь то коммутируемая линия (dial-up), соединение с локальной сетью или беспроводное соединение.

Структура хост-сеть оправдана в случае удаленного доступа. Мобильный пользователь может иметь программное обеспечение VPN на своем портативном компьютере и соединяться с внутренней вычислительной сетью через шлюз VPN. Эта схема VPN может быть использована и для сотрудников, работающих дома (со своего домашнего компьютера). Медленный, но уверенный рост использования цифровых и кабельных модемов делает привлекательной возможность работать из дома. VPN делает поток информационного обмена конфиденциальным и нечитаемым до того момента, когда он попадает в корпоративный шлюз VPN.

Рисунок 2.7. Подключение к сети VPN удаленного пользователя

Широкое распространение VPN, построенных на основе глобальных сетей передачи данных, делает их уязвимыми по отношению к атакам потенциального нарушителя, поскольку такая конфигурация наследуют все уязвимости стека используемых протоколов. Наиболее актуально вопросы безопасности стоят для VPN, где в качестве транспортного протокола используется TCP/IP, так как сети такого типа часто используются в Internet для передачи конфиденциальных данных, пересылаемых в виде информационных пакетов по протоколам IP и/или IPX. Средства обеспечения информационной безопасности трансформируют IP-пакеты, встраивая их внутрь других пакетов (инкапсуляция), которые затем маршрутизируются через Internet. Таким образом, информационный поток трансформируется в другой информационный поток (туннелирование). При этом шифруются не только поля данных передаваемого IP пакета, но и адресная часть, и служебные поля данных.

Говоря о протоколах, используемых для передачи информации по сетям VPN, следует отметить, что основными в этих случаях являются четыре протокола: Layer 2 Forwarding Protocol (протокол трансляции канального уровня), Layer 2 Tunneling Protocol (протокол туннелирования канального уровня), Point-to-Point Tunneling Protocol (протокол туннелирования точка точка), а также протокол IP Security (IPSec), предложенный комитетом IETF.

В последнее время растет популярность технологии SSL VPN на базе протокола SSL\TLS, который используется для защиты соединений в WEB-броузерах.

Первые три спецификации известны под общим названием протоколов трансляции канального уровня, поскольку в соответствии с ними пакеты протоколов сетевого уровня (AppleTalk, IP и IPX) сначала инкапсулируются в другие пакеты протокола канального уровня (РРР), а уже затем передаются адресату по IP-сети. Хотя эти спецификации и претендуют на решение проблемы безопасности в сетях VPN, они не обеспечивают шифрования, аутентификации, проверки целостности каждого передаваемого пакета, а также средств управления ключами. На сегодняшний день наиболее современным решением защиты сетей VPN является спецификация IPSec. Поэтому в случае использования первых трех спецификаций для обеспечения безопасности информации при передаче в рамках VPN необходимо применение дополнительных средств ее защиты.

Виртуальные частные сети на основе протокола SSL (Secure Sockets Layer) предназначены для безопасного предоставления корпоративных сетевых услуг любому авторизованному пользователю, который получает возможность удаленного доступа к корпоративным ресурсам из любой точки мира, где имеется Интернет и стандартный веб-браузер. Использование веб-броузера и встроенных систем шифрования SSL обеспечивает доступ к корпоративной сети с любых удаленных устройств, например, через домашние ПК, интернет-киоски или беспроводные устройства Wi-Fi, то есть из любой точки, включая и те, где установка клиентского программного обеспечения VPN и создание соединений VPN с протоколом IPSec сопряжены с большими трудностями. Администраторы могут настраивать параметры доступа к веб-сайтам и корпоративным приложениям индивидуально для каждого пользователя. Кроме того, поскольку корпоративные межсетевые экраны, как правило, поддерживают соединения по протоколу SSL, дополнительная настройка сети не требуется. В результате технология SSL VPN позволяет легко обходить межсетевой экран и обеспечивать доступ из любой точки.

2.4.3 Виды реализации VPN-устройств

Все продукты для создания VPN можно условно разделить на две категории: программные и аппаратные. Программное решение для VPN - это, как правило, готовое приложение, которое устанавливается на подключенном к сети отдельном компьютере. Ряд производителей, такие как компании Axent Technologies, Check Point Software Technologies и NetGuard, поставляют VPN-пакеты, которые легко интегрируются с программными межсетевыми экранами и работают на различных операционных системах, включая Windows NT/2000, Sun Solaris и Linux. Поскольку для построения VPN на базе специализированного программного обеспечения требуется создание отдельной компьютерной системы, такие решения обычно сложнее для развертывания, чем аппаратные. Создание подобной системы предусматривает конфигурирование сервера для распознавания данного компьютера и его операционной системы, VPN-пакета, сетевых плат для каждого соединения и специальных плат для ускорения операций шифрования. Такая работа в ряде случаев может оказаться затруднительной даже для опытных специалистов. С другой стороны, программные решения для VPN стоят относительно недорого. В отличие от них аппаратные VPN-решения включают в себя все, что необходимо для соединения, - компьютер, частную (как правило) операционную систему и специальное программное обеспечение. Ряд компаний, в том числе Cisco Systems, NetScreen и Sonic, предлагают целый спектр решений, которые могут масштабироваться в зависимости от количества одновременных VPN-соединений, с которыми предполагается работать, и ожидаемого объема трафика. Развертывать аппаратные решения, безусловно, легче. Они включают в себя все, что необходимо для конкретных условий, поэтому время, за которое их можно запустить, исчисляется минутами или часами. Еще одним серьезным преимуществом аппаратных VPN-решений является гораздо более высокая производительность. К минусам аппаратных VPN-решений можно отнести их высокую стоимость. Еще один недостаток таких решений состоит в том, что управляются они отдельно от других решений по безопасности, что усложняет задачу администрирования инфраструктуры безопасности, особенно при условии нехватки сотрудников отдела защиты информации.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11