6. Виртуальные частные сети (vpn). Назначение, основные возможности, принципы функционирования и варианты реализации vpn. Структура защищенной корпоративной сети.

Инкапсуляция в компьютерных сетях — это метод согласования сетей, применимый только для согласования транспортных протоколов. Инкапсуляция (тунель) может быть использована, когда две сети с одной транспортной технологией необходимо соединить через сеть, использующую другую транспортную технологию.

Взаимодействие раcпределенных территориальных офисов, сдача отчетности в контролирующие органы, клиент-банковские технологии, мобильные офисы, удаленный доступ к корпоративным ресурсам и многие другие сферы деятельности требуют использования технологий VPN.

VPN (англ. Virtual Private Network — виртуальная частная сеть) — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет).

В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.

VPN можно применять для решения трех разных задач:

• для организации глобальной связи между филиалами одной компании (intranet);

• для соединения частной сети компании с ее деловыми партнерами и клиентами (extranet);

• для взаимодействия отдельных мобильных пользователей или работающих дома сотрудников с корпоративной сетью (удаленный доступ).

Виртуальная частная сеть (VPN - Virtual Private Network) создается на базе общедоступной сети Интернет. И если связь через Интернет имеет свои недостатки, главным из которых является то, что она подвержена потенциальным нарушениям защиты и конфиденциальности, то VPN могут гарантировать, что направляемый через Интернет трафик так же защищен, как и передача внутри локальной сети. В тоже время виртуальные сети обеспечивают существенную экономию затрат по сравнению с содержанием собственной сети глобального масштаба. Виды VPN:

• на базе брандмауэров;

• н а базе маршрутизаторов;

• VPN на базе программного обеспечения;

• VPN на базе сетевой ОС;

• V PN на базе аппаратных средств.

Безопасность сети:

Для обеспечения высокого уровня защищенности служба административного управления безопасностью должна быть централизованной. В сети необходимо организовать выделенный центр управления безопасностью (ЦУБ), который занимается сбором информации обо всех зарегистрированных нарушениях, ее обработкой и анализом с целью удаленного управления всеми техническими средствами защиты информации

Структура корпоративной сети с выделенным ЦУБ

Функции ЦУС (центр управления службами) и ЦУБ не должны быть совмещены на одном рабочем месте администратора сети (несмотря на то, что они являются службами сетевого управления). Требуется предусмотреть алгоритм взаимодействия между ними, поскольку не исключено, что решения, принимаемые администраторами для управления и защиты корпоративной сети в процессе ее функционирования, могут оказаться прямо противоположными.

Межсетевые средства защиты можно разделить на открытые и корпоративные. Первые — это межсетевые экраны (МЭ), функционирующие на основе открытых протоколов Internet и предназначенные для подключения к сети корпорации открытых серверов Internet. Корпоративные МЭ позволяют организовать в корпоративной сети защищенное взаимодействие клиент—сервер с закрытыми серверами корпорации, в том числе по виртуальным каналам сетей общего пользования.

Корпоративные межсетевые средства защиты делятся на внутренние и внешние. При этом внешние МЭ (они работают на виртуальном канале парами — входной и выходной) решают задачу разграничения прав доступа к виртуальному каналу связи и согласования параметров его защищенности при взаимодействии клиент—сервер, а внутренние обеспечивают разграничение прав доступа к ресурсам информационного сервера.