- •4. Віртуальні приватні мережі.
- •М. Павликевич телекомунікаційні мережі
- •Лекції для студентів cпеціальності
- •7.092402 “Інформаційні мережі зв’язку”
- •4.1. Вступ
- •4.1.1.Традиційний режим тунелювання
- •4.1.2.Віртуальні приватні мережі з доступом через комутовані канали
- •4.1.2.1.Шифрування на Мережевому рівні
- •4.1.2.1.1.Віртуальні приватні мережі Канального рівня
- •Vpn на базі робочих станцій
- •5.Доступ віддаленого користувача через Internet
- •5.1.1.Основи тунелювання
- •5.1.2.Протоколи тунелювання
- •5.1.3.Як працює тунелювання
- •5.1.4.Протоколи тунелювання і основні вимоги до тунелювання
- •5.1.5.Типи пакетів
- •5.1.5.1.Типи тунелів
- •5.1.5.2.Добровільні тунелі
- •5.1.5.3.Вимушені тунелі
- •5.2.Статичний або динамічний раутінг
- •5.2.1.1.1.1.Властивості безпеки підвищеного рівня
- •5.2.1.2.Шифрування
- •5.2.2.Сертифікати
- •5.2.3.Автентифікація користувачів та управління доступом
- •5.2.4.Автентифікація користувача
- •5.2.5.Управління доступом
- •5.2.6.Поведінка сумісного захисту
- •5.2.7.Заголовок безпечної інкапсуляції (esp)
- •5.2.8.Фаза 1: проста загальна політика
- •5.2.9.Фаза 2: робочі групи замовників
- •5.2.10.Фаза 3: додання довірчої інфраструктури
- •5.2.11.Питання мережевої та системної інфраструктури
- •5.3.Захист на рівні транзакцій (eap –tls)
- •5.3.1.1.Адміністрування користувача
- •5.3.1.1.1.Масштабованість
- •5.3.1.2.Облік, аудит і сигналізація тривоги
5.Доступ віддаленого користувача через Internet
Віртуальні приватні мережі забезпечують віддалений доступ до корпоративних ресурсів через Internet, забезпечуючи секретність інформації (рис. 2). Замість використання виділеної лінії або комутованого зв’язку на велику відстань через зовнішній сервер доступу, користувач спочатку з’єднується з локальним ISP через телефон. Використовуючи локальне сполучення до ISP, програмне забезпечення VPN створює приватну віртуальну мережу між користувачем і корпоративним сервером VPN через Internet.
Р ис. 2. Використання VPN для сполучення віддаленого клієнта з корпоративною LAN.
Сполучення мереж через Internet
Існують два методи використання віртуальних приватних мереж для під’єднання локальних мереж до віддалених пунктів:
використання виділених ліній для сполучення віддалених офісів до корпоративної LAN. Замість використання дорогого віддаленого зв’язку через виділену лінію між офісом і корпоративним габом (раутером), раутер віддаленого офісу і корпоративний раутер можуть використовувати локальні виділені лінії до локальних ISP для під’єднання до Internet. Програмне забезпечення VPN використовує локальні під’єднання до ISP та Internet для створення віртуальної приватної мережі між раутером віддаленого офісу і раутером корпорації через Internet.
Використання комутованих ліній для сполучення віддалених офісів до корпоративної LAN. Замість використання виділеної лінії або віддаленого комутованого з’єднання до корпоративного або стороннього сервера мережевого доступу, раутер віддаленого офісу може з’єднуватися з локальним ISP через комутовану лінію. Програмне забезпечення VPN використовує сполучення до локального ISP для створення віртуальної приватної мережі між раутером віддаленого офісу і раутером корпорації через Internet.
Рис. 3. Використання VPN для сполучення двох віддалених пунктів.
Зауважимо, що в обидвох випадках обладнання, яке з’єднує віддалений офіс з корпоративним, є локальним. Ощадність коштів при використанні віртуальних приватних мереж клієнт-сервер і сервер-сервер є прогнозованою, якщо брати до уваги використання локального комутованого зв’язку для сполучення. Рекомендується, щоб корпоративний раутер, який діє як сервер VPN, був під’єднаний до локального ISP через виділену лінію. Цей сервер повинен бути доступний для вхідного трафіку VPN протягом 24 годин на добу.
Сполучення комп’ютерів через intranet
У певних корпоративних об’єднаннях мереж дані підрозділів є настільки важливими (тобто чутливими до несанкціонованого доступу), що LAN цих підрозділів фізично відокремлюють від решти корпоративної мережі. Хоч це забезпечує таємність інформації таких підрозділів, однак створює проблеми з доступом до інформації для тих користувачів, які фізично не під’єднані до цих окремих LAN. Віртуальні приватні мережі дозволяють LAN підрозділів бути фізично під’єднаними до корпоративного об’єднання мереж і бути відділеними від сервера VPN. Зауважимо, що сервер VPN не діє як раутер між корпоративним об’єднанням мереж і LAN підрозділів. Раутер може з’єднувати ці дві мережі, дозволяючи будь-кому мати доступ до чутливих LAN. При використанні VPN мережевий адміністратор може гарантувати, що тільки ті користувачі корпоративного об’єднання мереж, які мають відповідні повноваження, можуть встановлювати віртуальну приватну мережу з сервером VPN і отримувати доступ до захищених ресурсів підрозділу. Крім того, уся комунікація через VPN може бути зашифрована для забезпечення конфіденційності даних. Користувачі, які не мають необхідних повноважень, не можуть бачити LAN підрозділів.
Р ис. 4. Використання VPN для сполучення двох комп’ютерів у тій самій LAN.
Основні вимоги до VPN
Звичайно, коли опрацьовують розв’язання для взаємодії віддалених мереж, підприємства вимагають забезпечити контрольований доступ до корпоративних ресурсів та інформації. Ці розв’язання повинні забезпечити авторизованим віддаленим клієнтам свободу і простоту доступу до ресурсів корпоративних локальних мереж, а також дозволяти віддаленим офісам з’єднуватися один з одним для спільного використання ресурсів та інформації (сполучення LAN-LAN). Нарешті, сполучення повинні забезпечувати секретність і цілісність даних, які поширюються через корпоративне об’єднання мереж.
Тому, як мінімум, розв’язання VPN повинні забезпечувати:
автентифікацію користувачів. Розв’язання повинні перевіряти ідентичність користувача і обмежувати VPN-доступ тільки до авторизованих користувачів. Крім того, повинен забезпечуватися аудит і облік записів, які показують, хто і коли мав доступ до певної інформації.
управління адресами. Розв’язання повинні призначати адреси клієнтам у приватній мережі та мусять дбати про те, щоб ці адреси були таємними.
шифрування даних. Дані, які переносяться через публічні мережі, мусить бути захищені від читання неавторизованими клієнтами мережі.
управління ключами. Розв’язання повинні генерувати та оновлювати ключі шифування для клієнта і для сервера.
багатопротокольну підтримку. Розв’язання повинні бути здатні обслуговувати поширені протоколи, які вживаються у публічних мережах. Це включає протоколи IP, IPX і тому подібні.
Для Internet розв’язання VPN базуються на тунельному протоколі “пункт-пункт” (Point-to-Point Tunneling Protocol – PPTP) або на тунельному протоколі Рівня 2 (Layer 2 Tunneling Protocol- L2TP), які відповідають всім цим основним вимогам і широко доступні в Internet. Інші розв’язання, включно з новим захищеним протоколом IP (IP Security Protocol – IPSec), відповідають тільки деяким із цих вимог, однак можуть вживатися в особливих ситуаціях.