- •Часть 3. Технологии защиты информационных ресурсов
- •Глава 11. Введение в защищенные виртуальные частные сети
- •11.1. Концепция построения защищенных виртуальных частных сетей vpn.
- •11.1.1. Функции и компоненты сети vpn
- •11.1.2. Сервисы безопасности сети vpn
- •Аутентификация абонентов
- •Обеспечение конфиденциальности, целостности и аутентичности передаваемой информации
- •11.2. Класcификация виртуальных частных сетей vpn
- •11.2.1. Классификация vpn по рабочему уровню модели osi.
- •Vpn канального уровня.
- •Vpn сетевого уровня
- •Vpn сеансового уровня
- •11.2.2. Классификация vpn по архитектуре технического решения
- •11.2.3. Классификация vpn по способу технической реализации
- •Vpn на основе сетевой ос.
- •Vpn на основе маршрутизаторов
- •Vpn на основе межсетевых экранов.
- •Vpn на основе программного обеспечения
- •Vpn на основе специализированных аппаратных средств со встроенными шифропроцессорами.
- •11.3. Vpn-решения для построения защищенных корпоративных сетей
- •11.3.1. Основные варианты vpn-решений
- •11.3.2. Vpn на базе сетевых операционных систем
- •11.3.3. Vpn на базе маршрутизаторов
- •11.3.4. Vpn на базе межсетевых экранов
- •11.3.4. Vpn и требования законодательства
- •11.3.5. Vpn-продукты российских производителей
- •Криптографический комплекс шип
- •Vpn продукты застава
- •11.3.6. Что выбрать?
- •11.4. Технические и экономические преимущества внедрения технологий vpn в корпоративные сети
11.4. Технические и экономические преимущества внедрения технологий vpn в корпоративные сети
Компьютерные системы хранят и обрабатывают все больше важной конфиденциальной информации. Утечка или искажение данных о клиентах и поставщиках, финансовых потоках, товарных запасах, планах развития может стать для компании причиной многих неудач и нанести ее бизнесу значительный ущерб. Средства взлома компьютерных сетей и хищения информации развиваются так же быстро, как и высокотехнологичные компьютерные отрасли.
На сегодняшний день актуальной и важной задачей является проблема создания защищенных распределенных информационных систем и интегрированных сетей, использующих прогрессивные технологии защиты информации. Эти технологии необходимы для обеспечения информационной безопасности в Internet-, intranet- и extranet-системах.
Потенциальным заказчикам - корпорациям и крупным фирмам – необходима для ведения своей деятельности защищенная информационная среда и ее интеграция в глобальную информационную сферу современного бизнеса. Внедрение комплексных проектов информатизации в сочетании с решениями по информационной безопасности позволяет повысить экономическую эффективность и прибыльность клиента.
Корпоративные сети и системы, внедряемые на предприятиях, объективно приводят к росту стоимости информации, хранящейся и обрабатываемой в них. Реализация решений, обеспечивающих безопасность информационных ресурсов – неотъемлемых ресурсов для ведения современного бизнеса – позволяет повысить эффективность всего процесса информатизации и обеспечить целостность, подлинность и конфиденциальность дорогостоящей деловой информации, циркулирующей в локальных и глобальной информационных средах.
Эффективное применение информационных технологий в сочетании с технологиями в области информационной безопасности является важнейшим стратегическим фактором повышения конкурентоспособности современных предприятий и организаций [130].
Технология виртуальных частных сетей VPN позволяет эффективно решать эти задачи. Технология VPN обеспечивает связь между сетями, а также между удаленным пользователем и корпоративной сетью с помощью защищенного канала (туннеля), "проложенного" в общедоступной сети Интернет.
Данные, передаваемые по виртуальной частной сети, упаковываются в зашифрованные IP-пакеты. Владельцы VPN-сетей используют различные схемы шифрования и аутентификации, которые обеспечивают защиту данных. Чтобы получить доступ к виртуальной частной сети, зарегистрированные пользователи должны прежде всего подключиться к Интернет по выделенной линии связи или телефонной линии через локального провайдера услуг Интернет.
Виртуальная частная сеть может быть развернута на базе Интернет или построена на инфраструктуре других транспортных сетей: IP, Frame Relay или ATM. Основная масса решений по VPN разрабатывается для IP-сетей, наиболее известная из которых — Интернет.
Организация виртуальных частных сетей на основе Internet имеет ряд преимуществ над традиционными частными сетями:
гарантирует высокое качество информационного обмена, так как магистральные каналы и маршрутизаторы Internet имеют большую пропускную способность, и характеризуются надежностью передачи информации;
обеспечивает масштабируемую поддержку удаленного доступа к ресурсам локальной сети, позволяя мобильным пользователям связываться по местным телефонным линиям с поставщиками услуг Internet и через них входить в свою корпоративную сеть;
для организации удаленного доступа пользователей к локальной сети исключается необходимость в наличии модемных пулов, а трафиком дистанционного доступа можно управлять точно так же, как любым другим трафиком Internet;
сокращаются расходы на информационный обмен через открытую внешнюю среду:
использование Internet для объединения локальных сетей значительно дешевле аренды каналов связи телефонных и других глобальных сетей, например, сетей frame relay, не говоря уже о стоимости самостоятельного построения коммуникаций.
Использование VPN- технологий для защиты информации в распределенных сетевых информационных системах масштаба предприятия характеризуется следующими достоинствами:
С помощью средств защиты может быть защищена вся корпоративная сеть – от крупных локальных сетей офисов до отдельных рабочих мест. Защита может быть распространена на все звенья сети – от сегментов локальных сетей до коммуникационных каналов глобальных сетей, в том числе выделенных и коммутируемых линий.
Обеспечивается масштабируемость системы защиты, то есть для защиты объектов различной сложности и производительности можно использовать адекватное по уровню сложности, производительности и стоимости программные или программно-аппаратные средства защиты;
С полной безопасностью для информационных ресурсов организации могут использоваться ресурсы открытых сетей в качестве отдельных коммуникационных звеньев корпоративной сети; все угрозы, возникающие при использовании сетей общего пользования, будут компенсироваться средствами защиты информации.
Наряду с защитой трафика обеспечивается подконтрольность работы сети и достоверная идентификация всех источников информации. При необходимости может быть обеспечена аутентификация трафика на уровне отдельных пользователей.
Программные и программно-аппаратные средства защиты информации позволяют сегментировать информационную систему и организовать безопасную эксплуатацию системы, обрабатывающей информацию различных уровней конфиденциальности.
Кроме того, известны такие положительные результаты использования VPN-технологий в корпоративных сетях, как:
увеличение уровня продаж, производимых корпорациями изделий;
ускорение разработки новых продуктов или услуг;
укрепление отношений со стратегическими партнерами.
Компания Forrester Research распространила результаты проводившихся исследований, на основании которых стало известно, что 55% корпораций планируют использовать VPN. Причины этого заключаются в наименьшей стоимости VPN-решений по сравнению с другими технологиями, а также гибкости работы VPN-продуктов, базирующихся на протоколе IP.
До появления VPN распределенные корпоративные сети преимущественно строились с использованием выделенных линий, а также технологий Frame Relay. Согласно результатам анализа, проведенного компанией Forrester Research, стоимость построения корпоративной сети на основе Интернет с применением VPN-технологий значительно меньше, чем стоимость создания сети на базе арендованных линий.
Основные затраты при использовании VPN приходятся на оплату услуг Internet Service Provider и единовременные расходы на VPN-оборудование. В условиях, когда число удаленных пользователей или офисов компании увеличивается, а стоимость аренды выделенных линий не снижается, применение технологии VPN становится особенно выгодным.
Это подтверждается информацией International Data Corporation: на рынке Интернет-услуг число удаленных соединений, использующихся для работы VPN, растет с каждым годом. Причинами такого быстрого роста количества удаленных соединений является феноменальный успех Интернет (как базы для корпоративных сетей), а также устойчивое увеличение количества мобильных и удаленных пользователей, использующих VPN-технологии. Стоимость удаленного VPN-доступа для корпоративной сети с 1000 абонентами может быть на 38% дешевле, чем внутренний доступ через арендованные линии. Удаленный доступ обеспечивает надежную и безопасную связь с корпоративной сетью через Интернет-провайдеров.
Применение VPN-доступа уменьшает затраты на:
закупку, монтаж и конфигурирование серверов удаленного доступа и модемов;
сетевое оборудование;
управление клиентским программным обеспечением;
контроль трафика удаленного доступа;
телефонные соединения;
обучение высококвалифицированных сетевых администраторов;
изменение требуемого числа портов доступа при увеличивающемся количестве удаленных пользователей;
линии связи.
1 Например, см. журнал «Сети и системы связи», №12 за 1999 год; Сетевой журнал «Data Communications» №9 за 2000 год и др.
2 поддержка защиты отдельных приложений реализована в Заставе версии 3.2.