- •Часть 3. Технологии защиты информационных ресурсов
- •Глава 11. Введение в защищенные виртуальные частные сети
- •11.1. Концепция построения защищенных виртуальных частных сетей vpn.
- •11.1.1. Функции и компоненты сети vpn
- •11.1.2. Сервисы безопасности сети vpn
- •Аутентификация абонентов
- •Обеспечение конфиденциальности, целостности и аутентичности передаваемой информации
- •11.2. Класcификация виртуальных частных сетей vpn
- •11.2.1. Классификация vpn по рабочему уровню модели osi.
- •Vpn канального уровня.
- •Vpn сетевого уровня
- •Vpn сеансового уровня
- •11.2.2. Классификация vpn по архитектуре технического решения
- •11.2.3. Классификация vpn по способу технической реализации
- •Vpn на основе сетевой ос.
- •Vpn на основе маршрутизаторов
- •Vpn на основе межсетевых экранов.
- •Vpn на основе программного обеспечения
- •Vpn на основе специализированных аппаратных средств со встроенными шифропроцессорами.
- •11.3. Vpn-решения для построения защищенных корпоративных сетей
- •11.3.1. Основные варианты vpn-решений
- •11.3.2. Vpn на базе сетевых операционных систем
- •11.3.3. Vpn на базе маршрутизаторов
- •11.3.4. Vpn на базе межсетевых экранов
- •11.3.4. Vpn и требования законодательства
- •11.3.5. Vpn-продукты российских производителей
- •Криптографический комплекс шип
- •Vpn продукты застава
- •11.3.6. Что выбрать?
- •11.4. Технические и экономические преимущества внедрения технологий vpn в корпоративные сети
11.2. Класcификация виртуальных частных сетей vpn
Стремительное развитие Интернета, которое мы наблюдаем в течение последних лет, открывает любому владельцу компьютера доступ к поистине неограниченным объемам информации. В связи с этим возможность индивидуального и коллективного доступа к корпоративной сети практически в любое время быстро превращается в неизменное требование делового мира.
Все большее число компаний обращает свой взор на технологии, которые позволяют использовать рабочую силу, разбросанную по разным географическим точкам. Сотрудники, находящиеся в командировках, теперь имеют возможность входить в корпоративную сеть прямо из своих гостиничных номеров, а те, кто работает на дому, могут поддерживать связь с головными офисами своих компаний в реальном масштабе времени.
Стремясь к укреплению сотрудничества с партнерами и поставщиками, компании открывают для них отдельные области своих сетей, благодаря чему сокращается время, затрачиваемое на внедрение новой продукции, и повышается качество обслуживания клиентов.
Изменение областей применения информационных технологий должно сопровождаться изменением основополагающей сетевой инфраструктуры. На смену традиционному способу установления соединений между пользователями Интернета посредством модемов и/или выделенных линий приходят виртуальные частные сети VPN, позволяющие пользователям свободно общаться между собой через Интернет [9].
В течение ближайших лет на базе открытой для всех глобальной сети Интернет можно будет уверенно поддерживать практически все виды трафика, включая обмен данными, речь и видеоизображение. Преимущества технологии VPN настолько убедительны, что уже сегодня многие компании начинают строить свою стратегию с учетом использования Интернета в качестве главного средства передачи информации, причем даже той, которая является уязвимой или жизненно важной.
Разные авторы по-разному проводят классификацию VPN. Наиболее часто используются следующие три признака классификации:
«рабочий» уровень модели OSI.
конфигурация структурного технического решения
способ технической реализации.
11.2.1. Классификация vpn по рабочему уровню модели osi.
Для технологий безопасной передачи данных по общедоступной (незащищенной) сети применяют обобщенное название — защищенный канал (secure channel). Термин «канал» подчеркивает тот факт, что защита данных обеспечивается между двумя узлами сети (хостами или шлюзами) вдоль некоторого виртуального пути, проложенного в сети с коммутацией пакетов.
Защищенный канал можно построить с помощью системных средств, реализованных на разных уровнях модели взаимодействия открытых систем OSI (рис.11.4).
Рис.11.4. Уровни протоколов защищенного канала.
Класификация VPN по рабочему уровню модели OSI представляет значительный интерес, поскольку от выбранного уровня OSI во многом зависит функциональность реализуемой VPN и ее совместимость с приложениями ИС, а также с другими средствми защиты.
По признаку "рабочий" уровень модели OSI различают следующие группы VPN:
VPN второго (канального) уровня;
VPN третьего (сетевого) уровня;
VPN пятого (сеансового) уровня.
Внимательный читатель, вероятно, заметил, что VPN строятся на достаточно низких уровнях модели OSI. Причина этого достаточно проста - чем ниже в стеке реализованы средства защищенного канала, тем проще их сделать прозрачными для приложений и прикладных протоколов. На сетевом и канальном уровнях зависимость приложений от протоколов защиты исчезает совсем. Поэтому построить универсальную и прозрачную защиту для пользователя возможно только на нижних уровнях модели. Однако здесь мы сталкиваемся с другой проблемой — зависимостью протокола защиты от конкретной сетевой технологии.
Если для защиты данных используется протокол одного из верхних уровней (прикладного или представительного), то такой способ защиты не зависит от того, какие сети (IP или IPX, Ethernet или ATM) применяются для транспортировки данных, что можно считать несомненным достоинством. С другой стороны, приложение при этом становится зависимым от конкретного протокола защиты, то есть для приложений такой протокол не является прозрачным.
Защищенному каналу на самом высоком, прикладном уровне свойственен еще один недостаток — ограниченная область действия. Протокол защищает только вполне определенную сетевую службу — файловую, гипертекстовую или почтовую. Например, протокол S/MIME защищает исключительно сообщения электронной почты. Поэтому для каждой службы необходимо разрабатывать соответствующую защищенную версию протокола.
Следует отметить,что на верхних уровнях модели OSI существует достаточно жесткая связь между используемым стеком протоколов и приложением.
Рассмотрим более подробно группы VPN, работающие на канальном, сетевом и сеансовом уровнях модели OSI.