ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ.ПРОФ. БОНЧ-БРУЕВИЧА»
Отчет по
Самостоятельной работе №4
«Классификация и реализация VPN»
Выполнил: Яковлев Илья Андреевич Студент I курса Факультет ИКСС Группа ИКБ-95
Подпись________
Проверил: Бабков Иван Николаевич
Подпись________
Классификация VPN по рабочему уровню модели OSI
По признаку рабочего уровня модели OSI различают следующие группы VPN: 1. VPN канального уровня; 2. VPN сетевого уровня; 3. VPN сеансового уровня.
VPN канального уровня. Средства VPN, используемые на канальном уровне модели OSI, позволяют обеспечить инкапсуляцию различных видов трафика третьего уровня (и более высоких уровней) и построение виртуальных туннелей типа точка–точка (от маршрутизатора к маршрутизатору или от персонального компьютера к шлюзу ЛВС). К этой группе относятся VPN-продукты, которые используют протоколы L2F (Layer 2 Forwarding) и PPTP (Point-to-Point Tunne ling Protocol), а также стандарт L2TP (Layer 2 Tunneling Pro tocol), разработанный совместно фирмами Cisco Systems и Майкрософт. Протокол защищенного канала PPTP основан на протоколе PPP, который широко используется в соединениях точка–точка, например при работе по выделенным линиям. Протокол PPTP обеспечивает прозрачность средств защиты для приложений и служб прикладного уровня и не зависит от применяемого протокола сетевого уровня.
VPN сетевого уровня. VPN-продукты сетевого уровня выполняют инкапсуляцию IP в IP. Одним из широко известных протоколов на этом уровне является протокол IPSec (IP Security), предназначенный для аутентификации, туннелирования и шифрования IP-пакетов. Стандартизованный консорциумом Internet Engineering Task Force (IETF), протокол IPSec вобрал в себя все лучшие решения по шифрованию пакетов. Работающий на сетевом уровне протокол IPSec является компромиссным вариантом. С одной стороны, он прозрачен для приложений, а с другой – он может работать практически во всех сетях, так как основан на широко распространенном протоколе IP. Протокол IPSec предусматривает стандартные методы идентификации пользователей или компьютеров при инициации туннеля, стандартные способы использования шифрования конечными точками туннеля, а также стандартные методы обмена и управления ключами шифрования между конечными точками. Протокол IPSec является доминирующим методом VPN для взаимодействия ЛВС. Протокол IPSec может работать совместно с протоколом L2TP, в результате эти два протокола обеспечивают надежную идентификацию, стандартизованное шифрование и целостность данных. Туннель IPSec между двумя локальными сетями может поддерживать множество индивидуальных каналов передачи данных, в результате чего приложения данного типа получают преимущества с точки зрения масштабирования, по сравнению с технологией второго уровня. С протоколом IPSec связан протокол IKE (Internet Key Ex change), решающий задачи безопасного управления и обмена криптографическими ключами между удаленными устройствами. Протокол IKE автоматизирует обмен ключами и устанавливает защищенное соединение, тогда как IPSec кодирует и «подписывает» пакеты. Кроме того, IKE позволяет изменять ключ для уже установленного соединения, что повышает конфиденциальность передаваемой информации.
VPN сеансового уровня. Некоторые VPN используют другой подход под названием «посредники каналов» (Circuit Proxy). Этот метод функционирует над транспортным уровнем и ретранслирует трафик из защищенной сети в общедоступную сеть Интернет для каждого сокета в отдельности. (Сокет IP идентифицируется комбинацией TCP-соединения и конкретного порта или заданным портом UDP. Стек TCP/IP не имеет пятого – сеансового – уровня, однако ориентированные на сокеты операции часто называют операциями сеансового уровня.) Шифрование информации, передаваемой между инициатором и терминатором туннеля, часто осуществляется с помощью защиты транспортного уровня TLS (Transport Layer Security). Для стандартизации аутентифицированного прохода через межсетевые экраны консорциум IETF определил протокол под названием SOCKS, и в настоящее время протокол SOCKS v.5 применяется для стандартизованной реализации посредников каналов.
Классификация VPN по архитектуре технического решения
По архитектуре технического решения принято выделять три основных вида виртуальных частных сетей: 1. VPN с удаленным доступом; 2. внутрикорпоративные VPN; 3. межкорпоративные VPN.
VPN с удаленным доступом Виртуальные частные сети VPN с удаленным доступом обеспечивают защищенный удаленный доступ к информационным ресурсам предприятия для мобильных или удаленных сотрудников корпорации (руководства компании, сотрудников, находящихся в командировках, сотрудников-надомников и т. д.). Виртуальные частные сети с удаленным доступом (рис. 11.6) завоевали всеобщее признание благодаря тому, что они позволяют значительно сократить ежемесячные расходы на использование коммутируемых и выделенных линий. Принцип их работы прост: пользователи устанавливают соединения с местной точкой доступа к глобальной сети, после чего их вызовы туннелируются через Интернет, что позволяет избежать платы за междугородную и международную связь или выставления счетов владельцам бесплатных междугородных номеров. Затем все вызовы концентрируются на соответствующих узлах и передаются в корпоративные сети. Переход к VPN с удаленным доступом дает ряд преимуществ, в частности: 1. эффективную систему установления подлинности удаленных и мобильных пользователей, которая обеспечивается надежной процедурой аутентификации; 2. высокую масштабируемость и простоту развертывания для новых пользователей, добавляемых к сети; 3. сосредоточение внимания компании на основных корпоративных бизнес-целях вместо отвлечения на проблемы обеспечения работы сети.
Внутрикорпоративная сеть VPN
Внутрикорпоративные сети VPN используются для организации защищенного взаимодействия между подразделениями внутри предприятия или между группой предприятий, объединенных корпоративными сетями связи. Компании, нуждающиеся в организации доступа к централизованным хранилищам информации для своих филиалов и отделений, могут соединить удаленные узлы при помощи виртуальной частной сети (рис. 11.7). Внутрикорпоративные сети VPN строятся с использованием Интернета или разделяемых сетевых инфраструктур, предоставляемых сервис-провайдерами. Компания может отказаться от использования дорогостоящих выделенных линий, заменив их более дешевой связью через Интернет. Это существенно сокращает расходы на использование полосы пропускания, поскольку в Интернете расстояние никак не влияет на стоимость со единения. Для внутрикорпоративных сетей VPN характерны следующие достоинства: 1. применение мощных криптографических протоколов шифрования данных для защиты конфиденциальной информации; 2. надежность функционирования при выполнении таких критических приложений, как системы автоматизированной продажи и системы управления базами данных; 3. гибкость управления для более эффективного размещения быстро возрастающего количества новых пользователей, новых офисов и новых программных приложений.
Межкорпоративная сеть VPN
Межкорпоративные сети VPN используются для организации эффективного взаимодействия и защищенного обмена информацией со стратегическими партнерами по бизнесу, в том числе зарубежными, основными поставщиками, крупными заказчиками, клиентами и т. д. (рис. 11.8). Экстранет – это сетевая технология, которая обеспечивает прямой доступ из сети одной компании к сети другой компании и таким образом способствует повышению надежности связи, поддерживаемой в ходе делового сотрудничества. Межкорпоративные сети VPN в целом похожи на внутрикорпоративные виртуальные частные сети – с той лишь разницей, что проблема защиты информации является для них более острой. Для межкорпоративных сетей VPN характерно использование стандартизированных VPN-продуктов, гарантирующих способность к взаимодействию с различными VPN-решениями, которые деловые партнеры могли бы применять в своих сетях. Когда несколько компаний принимают решение работать вместе и открывают друг для друга свои сети, они должны позаботиться о том, чтобы их новые партнеры имели доступ только к определенной информации. При этом конфиденциальная информация должна быть надежно защищена от несанкционированного использования. Именно поэтому в межкорпоративных сетях большое значение придается контролю доступа из открытой сети посредством межсетевых экранов. Важна и аутентификация пользователей, призванная гарантировать, что доступ к информации получают только те, кому он действительно разрешен. Вместе с тем развернутая система защиты от несанкционированного доступа не должна привлекать к себе внимания. Соединения экстранет-VPN развертываются, используя те же самые архитектуру и протоколы, которые применяются при реализации интранет-VPN и VPN с удаленным доступом. В настоящее время наблюдается тенденция к конвергенции различных способов реализаций VPN.
Основные виды технической реализации VPN
По способу технической реализации различают следующие группы VPN: 1. VPN на основе маршрутизаторов; 2. VPN на основе межсетевых экранов; 3. VPN на основе программных решений; 4. VPN на основе специализированных аппаратных средств.
Каждое из перечисленных решений имеет свои достоинства и недостатки. Средства построения VPN могут отличаться друг от друга по многим характеристикам: точкам размещения VPN-устройств; типу платформы, на которой эти средства работают; реализуемым протоколам формирования защищенных каналов; набору функций; применяемым алгоритмам шифрования и протоколам аутентификации.
Vpn на базе маршрутизаторов
Маршрутизатор пропускает через себя все пакеты, котoрыми локальная сеть обменивается с внешним миром. Это делает маршрутизатор естественной платформой для шифрования исходящих пакетов и расшифрования криптозащищенных входящих пакетов. Иными словами, маршрутизатор может, в принципе, совмещать основные операции по маршрутизации с поддержанием функций VPN. Такое решение имеет свои достоинства и недостатки. Достоинства заключаются в удобстве совместного администрирования функций маршрутизации и VPN. Применение маршрутизаторов для поддержания VPN особенно полезно в тех случаях, когда предприятие не использует межсетевого экрана и организует защиту корпоративной сети только с помощью маршрутизатора, совмещающего функции защиты как по доступу в сеть, так и по шифрованию передаваемого трафика. Недостатки данного решения связаны с повышенными требованиями к производительности маршрутизатора, вынужденного совмещать основные операции по маршрутизации с трудоемкими операциями шифрования и аутентификации трафика. Проблема получения повышенной производительности маршрутизатора обычно решается с помощью аппаратной поддержки функций шифрования. Сегодня практически все ведущие производители маршрутизаторов и других сетевых устройств заявляют о поддержке в своих продуктах различных VPN-протоколов.
Vpn на базе межсетевых экранов
Через межсетевой экран локальной сети, как и через маршрутизатор, пропускается весь трафик. Поэтому функции зашифрования исходящего трафика и расшифрования входящего трафика может с успехом выполнять и МЭ. Сегодня ряд VPN-решений опирается на расширения МЭ дополнительными функциями поддержки VPN, что позволяет установить через Интернет шифрованное соединение с другим МЭ. Построение VPN на базе межсетевых экранов является вполне обоснованным решением с точки зрения обеспечения комплексной защиты корпоративной сети от атак из открытых сетей. Действительно, при объединении функций МЭ и VPN-шлюза в одной точке под контролем единой системы управления и аудита все функции по защите корпоративной сети оказываются сосредоточенными в одном устройстве, при этом повышается качество администрирования средств защиты. Однако такая универсализация средства защиты при существующем уровне возможностей вычислительных средств имеет не только положительные, но и отрицательные стороны. Вычислительная сложность у операций шифрования и аутентификации намного выше, чем у традиционных для межсетевого экрана операций фильтрации пакетов. Поэтому МЭ, рассчитанный на выполнение менее трудоемких операций, часто не обеспечивает нужной производительности при выполнении дополнительных функций VPN. Когда корпоративная сеть подключена к открытой сети через высокоскоростной канал, рекомендуется для обеспечения качественной защиты использовать VPN-шлюз, выполненный в виде отдельного аппаратного, программного или комбинированного устройства. Ряд производителей МЭ расширяют поддержку функций VPN в своих продуктах. Ведущими производителями межсетевых экранов с поддержкой функций VPN являются компании Сhесk Роint Sоftwаrе Тесhnоlоgies, Network Associates, Sесurе Соmputing и др. В частности, компания Сheck Роint Software Тесhnologies, чей межсетевой экран FireWall-1 многократно признавался лучшим, выпускает популярное семейство продуктов VPN-1, которое тесно интегрировано с FireWall-1. Большинство МЭ представляет собой серверное программное обеспечение, поэтому актуальная проблема повышения производительности может быть решена за счет применения высокопроизводительной компьютерной платформы. Построение VPN на базе МЭ выглядит вполне рациональным решением, хотя ему присущи некоторые недостатки. Прежде всего это значительная стоимость данного решения в пересчете на одно рабочее место корпоративной сети и достаточно высокие требования к производительности МЭ даже при умеренной ширине полосы пропускания выходного канала связи.