9.2. Виртуальные частные сети (vpn)

Виртуальная частная сеть (VPN) — логическая сеть, создаваемая поверх другой се-

ти, чаще всего Интернет. Все данные, передающиеся между узлами этой сети шифруются,

поэтому, хотя физически данные передаются по публичным сетям с использованием не-

безопасных протоколов, по сути, VPN представляет собой закрытые от посторонних кана-

лы обмена информацией.

Канал между двумя узлами, защищенный за счет шифрования проходящего по нему

трафика, называется туннелем.

Выделяют два основных класса VPN:

1. Защищенные. Наиболее распространённый вариант. C его помощью на основе не-

надёжной сети (как правило, Интернета) создается надежная и защищенная подсеть. При-

мером защищённых VPN являются: IPSec, OpenVPN и PPTP (протокол тунеллирования от

точки к точке).

2. Доверительные. Используются для создания виртуальной подсети в рамках дру-

гой, надежной и защищенной сети, т.е. задача обеспечения безопасности по сути не ста-

вится. К доверительным VPN относятся протоколы MPLS и L2TP.

По архитектуре технического решения выделяют следующие классы VPN [5]:

1. Внутрикорпоративные. Предназначены для обеспечения защищенного взаимодей-

ствия между подразделениями внутри предприятия или между группой предпри-

ятий, объединенных корпоративными связями, включая выделенные линии.

2. VPN с удаленным доступом. Предназначены для обеспечения защищенного уда-

ленного доступа мобильных или удаленных сотрудников компаний к корпоратив-

ным информационным ресурсам.

3. Межкорпоративные (extranet VPN). Обеспечивают прямой защищенный доступ из

сети одной компании к сети другой компании (партнера, клиента и т.д.).

По способу технической реализации различают VPN на основе маршрутизаторов

(задача шифрования трафика ложится на маршрутизаторы, через которые проходит вся

исходящая из локальных сетей информация), на основе межсетевых экранов, на основе

программного обеспечения и на основе специализированных аппаратных средств.

Рассмотрим набор протоколов IPSec, предназначенный для обеспечения защиты

данных, передаваемых по протоколу IP. Он позволяет осуществлять подтверждение под-

линности и шифрование IP-пакетов, а также включает протоколы для защищенного обме-

на ключами через Интернет.

Протоколы IPsec работают на сетевом уровне модели OSI. Они подразделяются на

два класса: протоколы отвечающие за защиту потока передаваемых пакетов (ESP, AH) и

протоколы обмена ключами (IKE). Протоколы защиты передаваемого потока могут рабо-

тать в двух режимах — в транспортном режиме и в режиме туннелирования. В транс-

портном режиме шифруется (или подписывается) только информативная часть IP-пакета,

а заголовок не затрагивается (поэтому процедура маршрутизации не изменяется). В тун-

нельном режиме IP-пакет шифруется целиком. Для того, чтобы его можно было передать

по сети, он помещается в другой IP-пакет. Именно этот режим используется для организа-

ции виртуальной частной сети.

Режим IPSec-тунеллирования работает следующим образом [6]:

1. Обычный IP-пакет посылается на отправляющее IPSec-устройство (межсетевой

экран или маршрутизатор), где он должен быть зашифрован и направлен в конечную сис-

тему по локальной сети.

2. Отправляющее IPSec-устройство проводит аутентификацию принимающего уст-

ройства.

3. Два IPSec-устройства «договариваются» о шифре и алгоритме аутентификации,

которыми будут пользоваться.

4. Отправляющее IPSec-устройство шифрует IP-пакет с информацией и помещает

его в другой пакет с AH (аутентифицирующим заголовком).

5. Пакет пересылается по сети (по протоколам TCP/IP).

6. Принимающее IPSec-устройство читает IP-пакет, проверяет его подлинность и из-

влекает зашифрованное вложение для расшифровки.

7. Принимающее устройство отправляет исходный пакет в пункт его назначения.