- •Часть 3. Технологии защиты информационных ресурсов
- •Глава 11. Введение в защищенные виртуальные частные сети
- •11.1. Концепция построения защищенных виртуальных частных сетей vpn.
- •11.1.1. Функции и компоненты сети vpn
- •11.1.2. Сервисы безопасности сети vpn
- •Аутентификация абонентов
- •Обеспечение конфиденциальности, целостности и аутентичности передаваемой информации
- •11.2. Класcификация виртуальных частных сетей vpn
- •11.2.1. Классификация vpn по рабочему уровню модели osi.
- •Vpn канального уровня.
- •Vpn сетевого уровня
- •Vpn сеансового уровня
- •11.2.2. Классификация vpn по архитектуре технического решения
- •11.2.3. Классификация vpn по способу технической реализации
- •Vpn на основе сетевой ос.
- •Vpn на основе маршрутизаторов
- •Vpn на основе межсетевых экранов.
- •Vpn на основе программного обеспечения
- •Vpn на основе специализированных аппаратных средств со встроенными шифропроцессорами.
- •11.3. Vpn-решения для построения защищенных корпоративных сетей
- •11.3.1. Основные варианты vpn-решений
- •11.3.2. Vpn на базе сетевых операционных систем
- •11.3.3. Vpn на базе маршрутизаторов
- •11.3.4. Vpn на базе межсетевых экранов
- •11.3.4. Vpn и требования законодательства
- •11.3.5. Vpn-продукты российских производителей
- •Криптографический комплекс шип
- •Vpn продукты застава
- •11.3.6. Что выбрать?
- •11.4. Технические и экономические преимущества внедрения технологий vpn в корпоративные сети
Vpn сеансового уровня
Некоторые VPN используют другой подход под названием "посредники каналов" (circuit proxy). Этот метод функционирует над транспортным уровнем и ретранслирует трафик из защищенной сети в общедоступную сеть Internet для каждого сокета в отдельности. (Сокет IP идентифицируется комбинацией TCP-соединения и конкретного порта или заданным портом UDP. Протокол IP не имеет пятого — сеансового — уровня, однако ориентированные на сокеты операции часто называют операциями сеансового уровня.)
Шифрование информации, передаваемой между инициатором и терминатором туннеля, часто осуществляется с помощью защиты транспортного уровня TLS (Transport Layer Security). Для стандартизации аутентифицированного прохода через межсетевые экраны консорциум IETF определил протокол под названием SOCKS, и в настоящее время протокол SOCKS v.5 применяется для стандартизованной реализации посредников каналов.
В протоколе SOCKS v.5 клиентский компьютер устанавливает аутентифицированный сокет (или сеанс) с сервером, выполняющим роль посредника (proxy). Этот посредник — единственный способ связи через межсетевой экран. Посредник, в свою очередь, проводит любые операции, запрашиваемые клиентом. Поскольку посреднику известно о трафике на уровне сокета, он может осуществлять тщательный контроль, например, блокировать конкретные приложения пользователей, если они не имеют необходимых полномочий. Для сравнения, виртуальные частные сети уровней 2 и 3 обычно просто открывают или закрывают канал для всего трафика по аутентифицированному туннелю. Это может представлять проблему, если пользователь не до конца доверяет сети на другом конце туннеля.
Сети VPN с посредником канала типа IPSec ориентированы на протокол IP. Между тем если IPSec по существу распространяет сеть IP на защищенный туннель, то продукты на базе протокола SOCKS расширяют ее на каждое приложение и каждый сокет в отдельности. В отличие от решений уровня 3 (и уровня 2), где созданные туннели второго и третьего уровня функционируют одинаково в обоих направлениях, сети VPN уровня 5 допускают независимое управление передачей в каждом направлении. Аналогично протоколу IPSec и протоколам второго уровня, сети VPN уровня 5 можно использовать с другими типами виртуальных частных сетей, поскольку данные технологии не являются взаимоисключающими.
11.2.2. Классификация vpn по архитектуре технического решения
По архитектуре технического решения принято выделять три основных вида виртуальных частных сетей:
VPN с удаленным доступом;
внутрикорпоративные VPN;
межкорпоративные VPN.
Виртуальные частные сети VPN с удаленным доступом (Remote Access VPN) предназначены для обеспечения защищенного удаленного доступа к корпоративным информационным ресурсам мобильным и/или удаленным (home-office) сотрудникам компании. Принцип их работы заключается в следующем: пользователи устанавливают соединения с местной точкой доступа к глобальной сети (POP), после чего их вызовы туннелируются через Интернет. Затем все вызовы концентрируются на соответствующих узлах и передаются в корпоративные сети.
Внутрикорпоративные сети VPN (Intranet VPN) предназначены для обеспечения защищенного взаимодействия между подразделениями внутри предприятия или между группой предприятий, объединенных корпоративными сетями связи, включая выделенные линии.
Межкорпоративные сети VPN (Extranet VPN) предназначены для обеспечения защищенного обмена информацией со стратегическими партнерами по бизнесу, поставщиками, крупными заказчиками, пользователями, клиентами и т.д.
Extranet VPN обеспечивает прямой доступ из сети одной компании к сети другой компании и тем самым способствует повышению надежности связи, поддерживаемой в ходе делового сотрудничества. В межкорпоративных сетях большое значение придается контролю доступа посредством межсетевых экранов и аутентификации пользователей.
Cледует отметить, что в последнее время наблюдается тенденция к конвергенции различных конфигураций и способов реализаций VPN.