Курсовая работа - Групповая адресация в интернете / Data / frame / mainframe / main-3
.htmПонятие VPN
Основы туннелирования
Достоинства VPN
Недостатки VPN
До сих пор многие определяют понятие "виртуальные сети" как соединение локальных сетей через открытую IP-сеть с использованием на выходах этих сетей специальных устройств, осуществляющих шифрование проходящего через них трафика и туннелирование его между двумя такими устройствами (рисунок 1). О действительно защищенной виртуальной сети можно говорить только в том случае, когда в такой сети присутствуют как равноправные объекты защиты отдельные компьютеры (их расположение значения не имеет) и защищенные организационными мерами выделенные фрагменты локальной сети (например, группы серверов).
Рисунок 1 - VPN для удаленных пользователей
Агенты VPN, перехватывающие весь сетевой трафик, устанавливаются на каждый компьютер, который требует защиты при его информационном взаимодействии с окружающей средой. Или наоборот, компьютер, работающий из локальной сети с открытыми ресурсами, может быть с помощью технологии VPN изолирован от локальной сети. Агенты VPN, перехватывающие сетевой трафик независимо от приложения его создающего, путем криптографических преобразований каждого IP-пакета индивидуализируют его и делают недоступным для любых других компьютеров, кроме пары компьютеров, обменивающихся между собой информацией, Если идет обмен с каким-то сервером, то парольная информация становится недоступной. Прикладная система будет защищена, вне зависимости от используемой технологии, будь то Oracle, Informix, Microsoft SQL сервер или просто файловый сервер. \/РN-агенты легко создают замкнутые или пересекающиеся группы пользователей, исходя из логики требуемых информационных связей, независимо от приложений, сетевой операционной системы, без каких-либо настроек сетевого оборудования, без участия сетевых администраторов. Такие пользователи могут находиться в одной или разных локальных сетях, а также в глобальной сети, подключившись к Интернет через провайдера.
Основы туннелирования
Туннелирование (tunneling), или инкапсуляция (encapsulation), - это способ передачи полезной информации через промежуточную сеть. Такой информацией могут быть кадры (или пакеты) другого протокола. При инкапсуляции кадр не передается в сгенерированном узлом-отправителем виде, а снабжается дополнительным заголовком, содержащим информацию о маршруте, позволяющую инкапсулированным пакетам проходить через промежуточную сеть (Internet). На конце туннеля кадры деинкапсулируются и передаются получателю.
Этот процесс (включающий инкапсуляцию и передачу пакетов) и есть туннелирование. Логический путь передвижения инкапсулированных пакетов в транзитной сети называется туннелем.
VPN работает на основе протокола PPP(Point-to-Point Protocol). Протокол PPP разработан для передачи данных по телефонным линиям и выделенным соединениям "точка-точка". PPP инкапсулирует пакеты IP, IPX и NetBIOS в кадры PPP и передает их по каналу "точка-точка". Протокол PPP может использоваться маршрутизаторами, соединенными выделенным каналом, или клиентом и сервером RAS, соединенными удаленным подключением.
Основные компоненты PPP:
Инкапсуляция - обеспечивает мультиплексирование нескольких транспортных протоколов по одному каналу;
Протокол LCP - PPP задает гибкий LCP для установки, настройки и проверки канала связи. LCP обеспечивает согласование формата инкапсуляции, размера пакета, параметры установки и разрыва соединения, а также параметры аутентификации. В качестве протоколов аутентификации могут использоваться PAP, CHAP и др.;
Протоколы управления сетью - предоставляют специфические конфигурационные параметры для соответствующих транспортных протоколов. Например, IPCP протокол управления IP. Для формирования туннелей VPN используются протоколы PPTP, L2TP, IPsec, IP-IP.
Протокол PPTP - позволяет инкапсулировать IP-, IPX- и NetBEUI-трафик в заголовки IP для передачи по IP-сети, например Internet.
Протокол L2TP - позволяет шифровать и передавать IP-трафик с использованием любых протоколов, поддерживающих режим "точка-точка" доставки дейтаграмм. Например, к ним относятся протокол IP, ретрансляция кадров и асинхронный режим передачи (АТМ).
Протокол IPsec - позволяет шифровать и инкапсулировать полезную информацию протокола IP в заголовки IP для передачи по IP-сетям.
Протокол IP-IP - IP-дейтаграмма инкапсулируется с помощью дополнительного заголовка IP. Главное назначение IP-IP - туннелирование многоадресного трафика в частях сети, не поддерживающих многоадресную маршрутизацию.
Достоинства VPN
Виртуальные частные сети имеют несколько преимуществ над традиционными частными сетями. Главные из них - экономичность, гибкость и удобство использования.
Экономичность. С помощью VPN-сетей предприятиям удается хотя бы частично ограничить рост числа модемов, серверов доступа, коммутируемых линий и других технических средств, которые организации вынуждены внедрять, чтобы обеспечить удаленным пользователям доступ к своим корпоративным сетям. Кроме того, виртуальные частные сети дают возможность удаленным пользователям обращаться к сетевым ресурсам компании не по дорогим арендованным линиям, а через местную телефонную связь.
Особенно выгодны виртуальные частные сети в тех случаях, когда пользователи удалены на большие расстояния и поэтому арендованные линии обходятся очень дорого, а также когда таких пользователей много, в связи с чем и им требуется большое количество арендованных линий. Однако эти преимущества могут сойти на нет, если объем трафика в VPN-сети настолько велик, что система не успевает зашифровывать и расшифровывать пакеты данных. Чтобы избежать возникновения таких узких мест, предприятие вынуждено покупать дополнительное оборудование.
Кроме того, из-за относительной новизны технологии VPN и сложности используемых средств безопасности системный администратор для виртуальной сети обходится дороже, чем для традиционной.
Исследовательская компания Forrester Research опубликовала следующие данные, характеризующие преимущество применения VPN поверх Internet (из расчета 1000 пользователей) по сравнению с созданием центра удаленного доступа (Remote Access Service).
Статья затрат Удаленный доступ
(в млн. долл.) VPN
(в млн. долл.) Оплата услуг провайдера связи 1,08 0,54 Расходы на эксплуатацию 0,3 0,3 Капиталовложения 0,1 0,02 Прочие расходы 0,02 0,03 Всего 1,5 0,89
Из таблицы можно видеть, что использование VPN позволяет снизить многие статьи затрат, включая закупку коммуникационного оборудования, оплату услуг Internet-провайдера и т.д. Эти, а также другие исследования, позволили Международной Ассоциации Компьютерной Безопасности (International Computer Security Association, ICSA) причислить технологию VPN к десятке самых известных технологий, которые будут в первую очередь применяться многими компаниями. Это подтверждает и компания Gartner Group, которая в одном из своих отчетов предсказала, что средства построения VPN будут применяться в 2002 г. в 90% компаний. Именно с этим связан прогноз рынка средств VPN, который исчисляется 11,94 миллиардами долларов в 2002 году и 18,77 миллиардами в 2004 году (по данным Frost & Sullivan).
Гибкость и удобство. Эти достоинства виртуальных частных сетей объясняются тем, что в отличие от традиционных такие сети могут обеспечить удаленный доступ к ресурсам компании любому уполномоченному пользователю, имеющему связь с Internet. Благодаря этому VPN-сети позволяют партнерам легко получить доступ к сетевым ресурсам предприятия через Internet, что способствует укреплению альянсов и повышению конкурентоспособности. Этого трудно достичь с помощью традиционных частных сетей, так как предприятия, желающие совместно использовать сетевые ресурсы, часто имеют несовместимые системы. Особенно остро эта проблема возникает, когда большое число организаций, таких как крупное предприятие розничной торговли и его поставщики, хотят работать вместе через сеть.
Недостатки VPN
Проблемы защиты данных, недостаток надежности и производительности, а также отсутствие открытых стандартов затрудняют широкое распространение виртуальных частных сетей.
Защита. Для большинства технологий Internet вопросы обеспечения безопасности при передаче данных являются ключевыми. И виртуальные частные сети не исключение. Для них главные проблемы заключаются в аутентификации пользователей с помощью паролей и защите зашифрованного VPN-канала (тоннеля). Кроме того, сетевые администраторы должны тщательно выбирать методы, которые помогают пользователям получать доступ к виртуальным частным сетям.
Эти проблемы заставили некоторых потенциальных пользователей усомниться в том, что степень защиты данных будет удовлетворительной, если виртуальной частной сетью управляет провайдер услуг Internet. Чтобы успокоить недоверчивых пользователей, провайдеры поддерживают широкий набор различных схем шифрования и аутентификации. Например, фирма Aventail, выпускающая ПО для виртуальных частных сетей, предлагает пакет программ для аутентификации клиентов и шифрования на уровне сеанса. Компания VPNet Technologies поставляет оборудование, устанавливаемое между маршрутизатором и глобальной сетью, которое выполняет шифрование, аутентификацию и сжатие данных.
Большинство поставщиков используют методы шифрования с 56-разрядным ключом, соответствующие стандарту DES. По их мнению, такая длина ключа обеспечивает достаточно высокий уровень безопасности. Однако многие эксперты и аналитики полагают, что 56-разрядный ключ недостаточно надежен. Некоторые поставщики продуктов для виртуальных частных сетей предлагают шифрование со 112-разрядным ключом. Тем не менее следует помнить, что увеличение длины ключа снижает производительность, так как чем сложнее алгоритм шифрования, тем более интенсивной вычислительной обработки он требует.
Надежность и производительность. В связи с тем что виртуальные частные сети используют Internet, в них могут возникнуть проблемы надежности и производительности из-за перегруженности каналов связи, потери пакетов данных и других факторов, характерных для Всемирной сети. Это особенно важно для приложений реального времени, таких как телефония и видеоконференции.
Некоторые крупные провайдеры услуг Internet пытаются частично обеспечить надежность за счет использования собственных магистральных линий для передачи всего трафика виртуальных частных сетей. К сожалению, это не обеспечивает достаточный уровень надежности, так как, с одной стороны, магистрали провайдеров не всегда обладают высокой пропускной способностью, а с другой - проблемы передачи данных по Internet все равно остаются нерешенными.
Производительность сети - это достаточно важный параметр и на любые средства, которые уменьшают его, в любой организации смотрят с подозрением. Не являются исключением и средства построения VPN, которые вносят дополнительные задержки, связанные с обработкой трафика, проходящего через VPN-устройство. Все задержки, возникающие при криптографической обработке трафика, можно разделить на три типа:
Задержки при установлении защищенного соединения между VPN-устройствами.
Задержки, связанные с зашифрованием и расшифрованием защищаемых данных, а также преобразованиями, необходимыми для контроля их целостности.
Задержки, связанные с добавлением нового заголовка к передаваемым пакетам.
Реализация первого, второго и четвертого вариантов построения VPN предусматривает установление защищенных соединений не между абонентами сети, а только между VPN-устройствами. С учетом криптографической стойкости используемых алгоритмов смена ключа возможна через достаточно длительный интервал времени. Поэтому задержки первого типа на скорость обмена данными при использовании средств построения VPN практически не влияют. Разумеется, этот тезис касается стойких алгоритмов шифрования, использующих ключи не менее 128 бит (Triple DES, ГОСТ 28147-89 и т.д.). Устройства, использующие бывший стандарт DES, могут вносить определенные задержки в работу сети.
Задержки второго типа начинают играть роль только при передаче данных по высокоскоростным каналам (от 10 Мбит/сек). Во всех остальных случаях быстродействие программной или аппаратной реализации выбранных алгоритмов шифрования и контроля целостности обычно достаточно велико и в цепочке операций "зашифрование пакета - передача пакета в сеть" и "прием пакетов из сети - расшифрование пакета" время зашифрования (расшифрования) значительно меньше времени, необходимого для передачи данного пакета в сеть.
Основная проблема связана с добавлением дополнительного заголовка к каждому пакету, пропускаемому через VPN-устройство. В качестве примера, рассмотрим систему диспетчерского управления, которая осуществляет обмен данными в реальном масштабе времени между удаленными станциями и центральным пунктом. Размер передаваемых данных не велик - не более 25 байтов. Данного сопоставимого размера передаются в банковской сфере (платежные поручения) и в IP-телефонии. Интенсивность передаваемых данных - 50-100 переменных в секунду. Взаимодействие между узлами осуществляется по каналам с пропускной способностью в 64 Кбит/сек.
Пакет со значением одной переменной процесса имеет длину 25 байтов (имя переменной - 16 байт, значение переменной - 8 байт, служебный заголовок - 1 байт). IP-протокол добавляет к длине пакета еще 24 байта (заголовок IP-пакета). При использовании в качестве среды передачи каналов Frame Relay LMI добавляется еще 10 байт FR-заголовка. Всего - 59 байт (472 бита). Таким образом, для передачи 750 значений переменных процесса за 10 секунд (75 пакетов в секунду) необходима полоса пропускания 75 х 472 = 34,5 Кбит/сек, что нормально вписывается в имеющиеся ограничения пропускной способности в 64 Кбит/сек. Теперь посмотрим, как ведет себя сеть при включении в нее средства построения VPN. Первый пример - средства на основе уже порядком подзабытого протокола SKIP.
К 59 байтам данных добавляется 112 байт дополнительного заголовка (для ГОСТ 28148-89), что составит 171 байт (1368 бит). 75 х 1368 = 102,6 Кбит/сек, что на 60% превышает максимальную пропускную способность имеющегося канал связи.
Для протокола IPSec и вышеуказанных параметров пропускная способность будет превышена на 6% (67,8 Кбит/сек). Это при условии, что дополнительный заголовок для алгоритма ГОСТ 28147-89 составит 54 байта. Для протокола, используемого в российском программно-аппаратном комплексе "Континент-К" дополнительный заголовок, добавляемый к каждому пакету, составляет всего 36 байт (или 26 - в зависимости от режима работы), что не приводит к никакому снижению пропускной способности (57 Кбит/сек и 51 Кбит/сек соответственно). Справедливости ради, необходимо отметить, что все эти выкладки верны при условии, что кроме указанных переменных в сети ничего больше не передается.
Стандарты. Отсутствие открытых стандартов - серьезный барьер на пути широкого распространения виртуальных частных сетей. Пока нет стандартов, многие пользователи боятся вкладывать средства в технологию виртуальных частных сетей из-за опасения получить продукты, которые быстро устареют и станут несовместимыми. Именно поэтому компьютерная индустрия срочно разрабатывает открытые стандарты. Например, организация IETF, занятая разработкой стандартов для Internet, разработала в качестве стандарта протокола L2TP (Layer 2 Tunneling Protocol), который объединяет Point-to-Point Tunneling Protocol компании Microsoft и Layer 2 Forwarding Protocol фирмы Cisco Systems. С помощью этого протокола пользователи смогут применять в одних и тех же виртуальных частных сетях L2TP-совместимое аппаратное и программное обеспечение от разных поставщиков.
Кроме того, IETF продвинула протокол IPSec (IP Security Protocol), представляющий собой комплект открытых стандартов для аутентификации и шифрования IP-пакетов. Протокол IPSec дополняет IP средствами обеспечения защиты данных, которые соответствуют требованиям предприятий, желающих отправлять свои ответственные данные по Internet через виртуальные частные сети.
Вернуться