10.5 Особенности и преимущества vpn

В основе концепции частных виртуальных сетей (Virtual Private Network, VPN) и сетей Extranet может лежать применение Internet.

Internet можно использовать при взаимодействии локальных сетей предприятий, но проблемы защиты, доступности и надежности такой сети заставляют многие организации отказаться от этой идеи.

Обычная частная сеть - это такая сеть, где каждый из удаленных пунктов связан с другими с помощью выделенных или арендуемых линий [78].

На рисунке 10.8 показана простая сеть подобного типа, состоящая из сети одного центрального офиса и сетей двух дочерних офисов. Основные затраты на содержание частной сети - это ежемесячная плата за арендуемые или выделенные линии.

Если в подобной сети вместо арендуемых линий использовать обмен через Internet, то мы получим сетевую топологию, аналогичную представленной на рисунке 10.9. Здесь каждый удаленный пункт имеет собственный доступ к Internet, обычно предоставляемый местным провайдером.

Брандмауэр (Firewall, FW) – это программно-аппаратный комплекс, создающий защитный барьер (межсетевой экран) между сетями. Он предназначен для предотвращения несанкционированного доступа к защищаемой сети извне и для контроля потоков входящих и исходящих данных. Брандмауэр устанавливается на границе защищаемой сети, но его присутствие не должно быть заметно для сетевых узлов.

Сеть каждого дочернего отделения имеет собственное соединение с Internet (через шлюз местного провайдера).

Пользователи этих дочерних отделений могут с помощью такого соединения получить доступ к любому узлу Internet. Важные ресурсы корпоративной сети защищаются от доступа извне с помощью брандмауэров, обеспечивающих охрану каждого соединения с Internet.

Информационный обмен пользователей частной сети через Internet ставит вопросы защиты и качества услуг. Что касается безопасности, то каждый удаленный пункт, имеющий доступ к Internet, обычно защищен с помощью брандмауэра. Брандмауэр, как правило, настраивается таким образом, чтобы пользователи локальной сети могли свободно обращаться к узлам Internet, но сторонний пользователь не мог бы получить доступ извне к серверам или другим ресурсам корпоративной сети.

Подобная схема предохраняет каждый удаленный офис от несанкционированного доступа извне, но никак не защищает информационные потоки, передаваемые между этими пунктами. Потоки информации проходят через Internet без шифрования. Кроме проблем защиты, немаловажное значение для пользователей VPN имеет также надежность соединения с Internet каждого удаленного офиса и скорость передачи данных.

Многие проблемы защиты информационных потоков опираются на брандмауэры с дополнительными функциями поддержки VPN, расширения которых для виртуальных частных сетей позволяют установить через Internet шифрованное соединение с другим брандмауэром. Шифрование обеспечивает гарантию того, что даже если некто, вооружившись анализатором протоколов, перехватит сообщение из магистральной сети, то он не сможет прочитать данные.

Как показано на рисунке 10.10, брандмауэры с поддержкой VPN создают логические каналы - "коридоры" в Internet. Коридоры не позволяют никому извне "проникнуть внутрь".

Брандмауэры со средствами VPN создают шифрованные соединения, связывающие каждый пункт с другими. Концептуально это напоминает стены, окружающие каждый филиал, и коридоры, соединяющие штаб-квартиру с дочерними отделениями в единое целое. Брандмауэры со средствами VPN дают пользователям возможность получить защищенный доступ к сетям других филиалов.

Такой подход основывается на допущении, что если пользователь подтвердил свои полномочия в одном из филиалов, то ему можно (или следует) предоставить доступ к сетям других филиалов компании. Между тем, корпоративная политика защиты не всегда разрешает доступ к любой части сети всем сотрудникам организации. Более того, сегодня компании все чаще предоставляют доступ к своей сети партнерам по бизнесу, но при этом они обычно ограничивают сферу их доступа.

Расходы на VPN обычно складываются из оплаты стоимости линий связи между компанией и точкой доступа к Internet и оплаты услуг провайдера Internet. Вместо оплаты определенной пропускной способности (независимо от того, нужна она вам постоянно или нет), Internet позволяет по мере надобности создавать между точками сети защищенные виртуальные туннели.

Частная виртуальная сеть создается между инициатором туннеля и завершителем (терминатором) туннеля (Рисунок 10.11).

Инициатор туннеля (ИТ) инкапсулирует пакеты, например, IP-пакеты, в новый пакет, содержащий, наряду с исходными данными, новый заголовок с информацией об отправителе и получателе. Терминатор туннеля (ТТ) выполняет процесс, обратный инкапсуляции, удаляя новые заголовки и направляя исходный пакет в сеть IP или адресату в локальной сети.

Сама по себе инкапсуляция никоим образом не повышает конфиденциальности или целостности туннелируемых данных. Конфиденциальность обеспечивается с помощью шифрования.

Поскольку существует множество методов шифрования данных, очень важно, чтобы инициатор и терминатор туннеля использовали один и тот же метод. Кроме того, для успешной дешифрации данных источник и получатель должны иметь возможность обмена ключами шифрования. Чтобы туннели создавались только между уполномоченными пользователями, конечные точки требуется идентифицировать.

Целостность туннелируемых данных можно обеспечить с помощью некоей формы выборки сообщения или хэш-функции для выявления искажений или потерь. Хэширование (Hashing) – метод отображения открытого (незашифрованного) сообщения в шифрованную строку фиксированной длины. В криптографии такая функция служит для обнаружения модификации (искажения, подмены) шифрованных сообщений.

Технически реализация VPN стала возможной уже достаточно давно. Инкапсуляция используется для передачи кадров локальных сетей, в которых доставка обеспечивается без маршрутизации, через сети с маршрутизаторами пакетов, а также для доставки мультимедийной информации с помощью одного протокола.

Для реализации унифицированного способа инкапсуляции пакетов третьего и более высоких уровней разработан протокол туннелирования второго уровня (Layer-2 Tunneling Protocol, L2TP). Спецификация L2TP не описывает методы идентификации и шифрования. Представляя собой расширение протокола PPP (Point-to-Point Protocol) уровня звена данных, L2TP может поддерживать любые высокоуровневые протоколы (не только IP). Туннели на основе PPP требуют, чтобы конечные точки поддерживали информацию о состоянии каждого канала (такую, как тайм-ауты), и, следовательно, не обладают хорошей масштабируемостью при необходимости организации нескольких туннелей с общими конечными точками.

Для взаимодействия локальных сетей используются и технологии маршрутизации третьего уровня. Спецификацией, где описаны стандартные методы для всех компонентов VPN, является протокол Internet Protocol Security, или IPSec (иногда его называют протоколом туннелирования третьего уровня (Layer-3 Tunneling)).

Набор услуг, предоставляемых VPN

Протокол IPSec предусматривает:

• стандартные методы идентификации пользователей или компьютеров при создании туннеля;

• стандартные способы шифрования, используемые конечными точками туннеля;

• стандартные методы обмена и управления ключами шифрования между конечными точками. Этот гибкий стандарт предлагает несколько способов для выполнения каждой задачи.

Протокол IPSec может работать совместно с L2TP, в результате эти два протокола обеспечивают более надежную идентификацию, стандартизованное шифрование и целостность данных. Спецификация IPSec ориентирована на IP и, таким образом, бесполезна для трафика любых других протоколов сетевого уровня.

Туннель IPSec между двумя локальными сетями может поддерживать множество индивидуальных каналов передачи данных, в результате чего приложения данного типа получают преимущества с точки зрения масштабирования по сравнению с технологией второго уровня.