Основные понятия и функции сети VPN
Варианты построения виртуальных защищенных каналов
Защищённое Соединение Для Целей Коммуникации
Протоколы виртуальных частных сетей
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
Введение
За последние несколько десятилетий количество накопленных человечеством знаний, и без того внушительное, достигло совершенно неимоверных размеров. Этот, казалось бы, замечательный факт поначалу породил большие проблемы, а затем науку информатику и различные способы, методы и технические приспособления для работы с информацией. Безусловно, самым значительным и приведшим к поистине революционным изменениям в мире явилось «такое техническое приспособление», как компьютер. В связи со стремительным развитием сетевых технологий в последние годы, компьютер, и так задействованный во многих отраслях человеческой деятельности, взял на себя также большую часть функций по коммуникации, связи, передачи самой различной информации во всевозможные точки планеты. Огромную роль в жизни человечества играет такое явление, как Всемирная Сеть Интернет, широко распространены на сегодняшний день и локальные сети различных конфигураций. В контексте темы данного реферата следует сказать, что значительная доля передаваемой по сетям информации носит служебный характер и используется сотрудниками различных организаций, корпораций и т.д. Разумеется, очень остро стоит вопрос о защите такого рода информации как от «случайных искажений», так и от преднамеренного искажения или несанкционированного копирования, да и просто ознакомления. Рассматриваемая в данном реферате технология виртуальных частных сетей VPN направлена как раз на защиту от подобных воздействий.
VPN (англ. Virtual Private Network «виртуальная частная сеть») — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети, например Интернет. Несмотря на то, что для коммуникации используются сети с меньшим или неизвестным уровнем доверия (например, публичные сети), уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств защиты от повторов и изменений передаваемых по логической сети сообщений).
В зависимости от применяемых протоколов и назначения VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.
Обычно VPN развёртывают на уровнях не выше сетевого, так как применение криптографии на этих уровнях позволяет использовать в неизменном виде транспортные протоколы (такие как TCP, UDP).
Пользователи Microsoft Windows обозначают термином VPN одну из реализаций виртуальной сети — PPTP, причём, используемую зачастую не для создания частных сетей.
Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол — IP (такой способ использует реализация PPTP — Point-to-Point Tunneling Protocol) или Ethernet (PPPoE) (хотя и они имеют различия).
Технология VPN в последнее время используется не только для создания собственно частных сетей, но и некоторыми провайдерами «последней мили» на постсоветском пространстве для предоставления выхода в Интернет.
При должном уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации.
VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет).
Возможно также подключение к виртуальной сети отдельного компьютера.
Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем — процесса аутентификации. После успешного прохождения обоих процессов удалённый пользователь (удалённая сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.
Основные понятия и функции сети VPN
При подключении корпоративной локальной сети к открытой сети возникают угрозы безопасности двух основных типов:
О несанкционированный доступ к внутренним ресурсам корпоративной локальной сети, получаемый злоумышленником в результате несанкционированного входа в эту сеть;
О несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети.
Обеспечение безопасности информационного взаимодействия локальных сетей и отдельных компьютеров через открытые сети, в частности через сеть Интернет, возможно путем эффективного решения следующих задач:
О защиты подключенных к открытым каналам связи локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды;
О защиты информации в процессе ее передачи по открытым каналам связи.
Как уже отмечалось ранее, для защиты локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды обычно используют межсетевые экраны, поддерживающие безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене информацией. Межсетевой экран располагают на стыке между локальной и открытой сетью. Для защиты отдельного удаленного компьютера, подключенного к открытой сети, на этом компьютере устанавливают программное обеспечение сетевого экрана, и такой сетевой экран называется персональным.
Защита информации в процессе ее передачи по открытым каналам основана на использовании виртуальных защищенных сетей VPN. Виртуальной защищенной сетью VPN (Virtual Private Network) называют объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных. Виртуальная защищенная сеть VPN формируется путем построения виртуальных защищенных каналов связи, создаваемых па базе открытых каналов связи общедоступной сети. Эти виртуальные защищенные каналы связи называются туннелями VPN. Сеть VPN позволяет с помощью туннелей VPN соединить центральный офис, офисы филиалов, офисы бизнс-иартнсров и удаленных пользователей и безопасно передавать информацию через Интернет (рис. 9.1).
Туннель VPN представляет собой соединение, проведенное через открытую сеть, но которому передаются криптографически защищенные пакеты сообщений виртуальной сети. Защита информации в процессе ее передачи по туннелю VPN основана на выполнении следующих функций:
О аутентификация взаимодействующих сторон;
О криптографическое закрытие (шифрование) передаваемых данных;
О проверка подлинности и целостности доставляемой информации.
Для этих функций характерна взаимосвязь друг с другом. При реализации этих функций используются криптографические методы защиты информации. Эффективность такой защиты обеспечивается за счет совместного использования симметричных и асимметричных криптографических систем. Туннель VPN, формируемый устройствами VPN, обладает свойствами защищенной выделенной линии, причем эта защищенная выделенная линия развертывается в рамках общедоступной сети, например Интернета. Устройства VPN могут играть в виртуальных частных сетях роль VPN — клиента, VPN — сервера или шлюза безопасности VPN.
VPN — сервер представляет собой программный или программно-аппаратный комплекс, устанавливаемый на компьютере, выполняющем функции сервера. VPN — сервер обеспечивает защиту серверов от несанкционированного доступа из внешних сетей, а также организацию защищенных соединений (ассоциаций) с отдельными компьютерами и с компьютерами из сегментов локальных сетей, защищенных соответствующими VPN — продуктами. VPN — сервер является функциональным аналогом продукта VPN — клиент для серверных платформ. Он отличается, прежде всего, расширенными ресурсами для поддержания множественных соединений с VPN — клиентами. VPN — сервер может поддерживать защищенные соединения с мобильными пользователями.
Шлюз безопасности VPN (security gateway) — это сетевое устройство, подключаемое к двум сетям, которое выполняет функции шифрования и аутентификации для многочисленных хостов, расположенных за ним. Размещение шлюза безопасности VPN выполняется таким образом, чтобы через него проходил весь трафик, предназначенный для внутренней корпоративной сети. Сетевое соединение шлюза VPN прозрачно для пользователей позади шлюза, оно представляется им выделенной линией, хотя на самом деле прокладывается через открытую сеть с коммутацией пакетов. Адрес шлюза безопасности VPN указывается как внешний адрес входящего туннелируемого пакета, а внутренний адрес пакета является адресом конкретного хоста позади шлюза. Шлюз безопасности VPN может быть реализован в виде отдельного программного решения, отдельного аппаратного устройства, а также в виде маршрутизатора или межсетевого экрана, дополненных функциями VPN.
Открытая внешняя среда передачи информации включает как каналы скоростной передачи данных, в качестве которой используется сеть Интернет, так и более медленные общедоступные каналы связи, которые обычно представляют собой каналы телефонной сети. Эффективность виртуальной частной сети VPN определяется степенью защищенности информации, циркулирующей по открытым каналам связи. Для безопасной передачи данных через открытые сети широко используют инкапсуляцию и туннелирование. С помощью методики туннелирования пакеты данных передаются через общедоступную сеть как по обычному двухточечному соединению. Между каждой парой отправитель-получатель данных устанавливается своеобразный туннель — логическое соединение, позволяющее инкапсулировать данные одного протокола в пакеты другого.
Суть туннелирования состоит в том, чтобы инкапсулировать, то есть «упаковать» передаваемую порцию данных, вместе со служебными полями, в новый «конверт». При этом пакет протокола более низкого уровня помещается в поле данных пакета протокола более высокого или такого же уровня. Следует отметить, что туннелирование само по себе не защищает данные от несанкционированного доступа или искажения, но благодаря туннелированию появляется возможность полной криптографической защиты инкапсулируемых исходных пакетов. Чтобы обеспечить конфиденциальность передаваемых данных, отправитель шифрует исходные пакеты, упаковывает их во внешний пакет с новым ІР — заголовком и отправляет по транзитной сети.
Особенностью туннелирования является то, что эта технология позволяет зашифровать исходный пакет целиком вместе с заголовком, а не только его поле данных. Это важно, поскольку некоторые поля заголовка содержат информацию, которая может быть использована злоумышленником. В частности, из заголовка исходного пакета можно извлечь сведения о внутренней структуре сети — данные о количестве подсетей и узлов и их ІР — адресах. Злоумышленник может использовать такую информацию при организации атак на корпоративную сеть. Исходный пакет с зашифрованным заголовком нс может быть использован для организации транспортировки но сети. Поэтому для защиты исходного пакета применяют его инкапсуляцию и туннелирование. Исходный пакет зашифровывают полностью вместе с заголовком, и затем этот зашифрованный пакет помещают в другой внешний пакет с открытым заголовком. Для транспортировки данных по открытой сети используются открытые поля заголовка внешнего пакета.
Варианты построения виртуальных защищенных каналов
Безопасность информационного обмена необходимо обеспечивать как в случае объединения локальных сетей, так и в случае доступа к локальным сетям удаленных или мобильных пользователей.
Существует ряд вариантов схем виртуальных защищенных каналов. В принципе, любой из двух узлов виртуальной корпоративной сети, между которыми формируется виртуальный защищенный канал, может принадлежать конечной или промежуточной точке защищаемого потока сообщений.
С точки зрения обеспечения информационной безопасности лучшим является вариант, при котором конечные точки защищенного туннеля совпадают с конечными точками защищаемого потока сообщений. В этом случае обеспечивается защищенность канала вдоль всего пути следования пакетов сообщений. Однако такой вариант ведет к децентрализации управления и избыточности ресурсных затрат. В этом случае необходима установка средств создания VPN на каждом клиентском компьютере локальной сети. Это усложняет централизованное управление доступом к компьютерным ресурсам и не всегда оправдано экономически. Отдельное администрирование каждого клиентского компьютера с целью конфигурирования в нем средств защиты является достаточно трудоемкой процедурой в большой сети.
Если внутри локальной сети, входящей в виртуальную сеть, не требуется защита трафика, тогда в качестве конечной точки защищенного туннеля можно выбрать межсетевой экран или пограничный маршрутизатор этой локальной сети. Если же поток сообщений внутри локальной сети должен быть защищен, тогда в качестве конечной точки туннеля в этой сети должен выступать компьютер, который участвует в защищенном взаимодействии. При доступе к локальной сети удаленного пользователя компьютер этого пользователя должен быть конечной точкой виртуального защищенного канала.
Достаточно распространенным является вариант, когда защищенный туннель прокладывается только внутри открытой сети с коммутацией пакетов, например внутри Интернета. Этот вариант отличается удобством применения, но обладает сравнительно низкой безопасностью. В качестве конечных точек такого туннеля обычно выступают интернет-провайдеры или пограничные маршрутизаторы (межсетевые экраны) локальной сети.
При объединении локальных сетей туннель формируется только между пограничными интернет-провайдерами или маршрутизаторами (межсетевыми экранами) локальной сети. При удаленном доступе к локальной сети туннель создается между сервером удаленного доступа интернет-провайдера, а также пограничным интернет- провайдером или маршрутизатором (межсетевым экраном) локальной сети.
Построенные по данному варианту виртуальные корпоративные сети, обладают хорошей масштабируемостью и управляемостью. Сформированные защищенные туннели полностью прозрачны для клиентских компьютеров и серверов локальной сети, входящей в такую виртуальную сеть. Программное обеспечение этих узлов остается без изменений. Однако данный вариант характеризуется сравнительно низкой безопасностью информационного взаимодействия, поскольку частично трафик проходит по открытым каналам связи в незащищенном виде. Если создание и эксплуатацию такой VPN берет на себя провайдер ISP, тогда вся виртуальная частная сеть может быть построена на его шлюзах прозрачно для локальных сетей и удаленных пользователей предприятия. Но в этом случае возникают проблемы доверия к провайдеру и постоянной оплаты его услуг.
Защищенный туннель создается компонентами виртуальной сети, функционирующими на узлах, между которыми формируется туннель. Эти компоненты принято называть инициатором туннеля и терминатором туннеля.
Инициатор туннеля инкапсулирует исходный пакет в новый пакет, содержащий новый заголовок с информацией об отправителе и получателе. Инкапсулируемые пакеты могут принадлежать протоколу любого типа, включая пакеты немаршрутизируемых протоколов, например NetBEUI. Все передаваемые по туннелю пакеты являются пакетами IP. Маршрут между инициатором и терминатором туннеля определяет обычная маршрутизируемая сеть IP, которая может быть сетью, отличной от Интернета.
Инициировать и разрывать туннель могут различные сетевые устройства и программное обеспечение. Например, туннель может быть инициирован ноутбуком мобильного пользователя, оборудованным модемом и соответствующим программным обеспечением для установления соединений удаленного доступа. В качестве инициатора может выступить также маршрутизатор локальной сети, наделенный соответствующими функциональными возможностями. Туннель обычно завершается коммутатором сети или шлюзом провайдера услуг.
Терминатор туннеля выполняет процесс, обратный инкапсуляции. Терминатор удаляет новые заголовки и направляет каждый исходный пакет адресату в локальной сети.
Конфиденциальность инкапсулируемых пакетов обеспечивается путем их шифрования, а целостность и подлинность — путем формирования электронной цифровой подписи. Существует множество методов и алгоритмов криптографической защиты данных, поэтому необходимо, чтобы инициатор и терминатор туннеля своевременно согласовали друг с другом и использовали одни и те же методы и алгоритмы защиты. Для обеспечения возможности расшифровывая данных и проверки цифровой подписи при приеме инициатор и терминатор туннеля должны также поддерживать функции безопасного обмена ключами. Кроме того, конечные стороны информационного взаимодействия должны пройти аутентификацию, чтобы гарантировать создание туннелей VPN только между уполномоченными пользователями.
Существующая сетевая инфраструктура корпорации может быть подготовлена к использованию VPN с помощью как программного, так и аппаратного обеспечения.
Защищённое Соединение Для Целей Коммуникации
Защищённое Соединение Для Целей Коммуникации
Пока вы общаетесь с кем-то посредством VPN, все сообщения, логи чатов и голосовые сообщения остаются полностью защищёнными. Думаю, пример в данном случае будет более лучшим способом объяснения.
Предположим, что вы работаете в компании. В инфраструктуре этой компании, вы и ваши коллеги используют какое-то приложение для обмена сообщениями, касающимися деловых вопросов и вашего бизнеса. Это может быть обычное общение и советы, а также чувствительные темы о положении бренда, а также работе внутренних процессов.
Теперь, если эта информация станет публичной, то это может причинить множество проблем для всей компании в целом и для вас в частности. Именно в этом и проявляется полезность данного инструмента, а также сфера, где вы можете использовать различные виды VPN.
Различные Типы VPN, Которые Вы Можете Встретить
Используя VPN для создания безопасной и приватной сети, вы можете общаться с вашей командой и не беспокоиться об утечках данных или угрозе взлома сервера. Потенциальные хакеры не смогут идентифицировать ваш IP — адрес, так как вы используете VPN для его маскировки.
Однако это не обязательно касается только лишь проблем компаний. У вас может быть своя собственная чувствительная информация или сфера деятельности — передача подобных данных с включённым VPN исключает большинство угроз для их сохранности.
Передача файлов работает очень похожим способом, что и отправка сообщений и коммуникация. Несмотря на то, что оба этих способа использования относятся к рабочим процессам чего-либо, отдельные файлы будут чуть более чувствительными, чем сообщения отправленные посредством приложения для обмена сообщениями, учитывая то, что подобные файлы будут иметь гораздо больше информации.
Таким же способом как различные VPN виды, помогают вам поддерживать приватность общения в сети, они могут защитить вашу деятельность связанную с передачей файлов, будь то внешнюю или внутреннюю.
Однако существует и другой тип передачи файлов, о котором вы скорее всего знаете — использование торентов.
Использование торентов является действием при котором происходит скачивание защищённого авторским правом или нелегально распространяемого контента на сайте, который не имеет разрешение на его размещение и предоставление. Само это действие нелегально и может привести к проблемам у обеих сторон. Поэтому некоторые VPN отказываются предоставлять подобные услуги из-за опасений жалоб со стороны правообладателей.
Различные Типы VPN, Которые Вы Можете Встретить
Тем не менее люди всё равно пользуются этими сервисами каждый день.
Есть немало важных причин, почему вам стоит использовать определённые типы VPN при работе с торентами (будь то отправка или получение) для скачивания чего-либо из Интернета. Первой причиной, по которой вас могло интересовать какой тип VPN лучше для торентов, будет защита вашей собственной личности — если случается так, что в вашем торенте есть трекер или кейлоггер, он увидит фейковый IP — адрес вместо реального. Это нанесёт вам гораздо меньше вреда, чем могло быть. Хотя вам всё равно нужно будет остерегаться подобных вредоносных программ.
И даже учитывая сказанное, это не основная причина, по которой люди решают какой VPN лучше и какие виды VPN лучше для торентов. Нет, всё дело в надзорных органах и законе.
Практическое применение
Относительно применения, можно выделить четыре основных варианта построения сети VPN, которые используются во всем мире.
Вариант «Intrenet VPN», который позволяет объединить в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи. Именно этот вариант получил широкое распространение во всем мире, и именно его в первую очередь реализуют компании-разработчики.
Вариант «Client/Server VPN», который обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в том, что VPN строится между узлами, находящимися, как правило, в одном сегменте сети, например между рабочей станцией и сервером. Такая необходимость очень часто возникает в тех случаях, когда необходимо создать в одной физической, несколько логических сетей. Например, когда требуется разделить трафик между финансовым департаментом и отделом кадров, которые обращаются к серверам, находящимся в одном физическом сегменте. Этот вариант похож на технологию VLAN, которая действует на уровне выше канального.
Вариант «Extranet VPN» предназначен для тех сетей, куда подключаются так называемые пользователи со стороны, уровень доверия к которым намного ниже, чем к своим сотрудникам.
Вариант «Remote Access VPN», позволяющий реализовать защищенное взаимодействие между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который подключается к корпоративным ресурсам из дома (домашний пользователь) или через notebook (мобильный пользователь). Данный вариант отличается тем, что удаленный пользователь, как правило, не имеет «статического» адреса и подключается к защищаемому ресурсу не через выделенное устройство VPN, а напрямую с собственного компьютера, где и устанавливается программное обеспечение, реализующее функции VPN. Этим вариантом мы и воспользуемся.
Безопасность
Естественно, никакая компания не хотела бы открыто передавать в Интернет финансовую или другую конфиденциальную информацию. Каналы VPN защищены мощными алгоритмами шифрования, заложенными в стандарты протокола безопасности IРsec. IPSec (Internet Protocol Security — стандарт, выбранный международным сообществом, группой IETF — Internet Engineering Task Force) создает основы безопасности для Интернет-протокола (IP), незащищенность которого долгое время являлась притчей. Протокол Ipsec обеспечивает защиту на сетевом уровне и требует поддержки стандарта Ipsec только от общающихся между собой устройств по обе стороны соединения. Все остальные устройства, расположенные между ними, просто обеспечивают трафик IP-пакетов.
Способ взаимодействия лиц, использующих технологию Ipsec, принято определять термином «защищенная ассоциация» — Security Association (SA). Защищенная ассоциация функционирует на основе соглашения, заключенного сторонами, которые пользуются средствами Ipsec для защиты передаваемой друг другу информации. Это соглашение регулирует несколько параметров: IP — адреса отправителя и получателя, криптографический алгоритм, порядок обмена ключами, размеры ключей, срок службы ключей, алгоритм аутентификации.
Другие стандарты включают протокол PPTP (Point to Point Tunneling Protocol), развиваемый Microsoft, L2F (Layer 2 Forwarding), развиваемый Cisco, — оба для удаленного доступа. Microsoft и Cisco работают совместно с IETF, чтобы соединить эти протоколы в единый стандарт L2P2 (Layer 2 Tunneling Protocol) с целью использования IPSec для туннельной аутентификации, защиты частной собственности и проверки целостности.
Проблема состоит в том, чтобы обеспечить приемлемое быстродействие сети при обмене шифрованной информацией. Алгоритмы кодирования требуют значительных вычислительных ресурсов процессора, иногда в 100 раз больших, чем при обычной IP — маршрутизации. Чтобы добиться необходимой производительности, надо позаботиться об адекватном повышении быстродействия, как серверов, так и клиентских ПК. Кроме того, есть специальные шлюзы с особыми схемами, которые заметно ускоряют шифрование.
IT — менеджер может выбирать конфигурацию виртуальной частной сети в зависимости от конкретных потребностей. Например, работающему на дому сотруднику может быть предоставлен ограниченный доступ к сети, а менеджеру удаленного офиса или руководителю компании — широкие права доступа. Один проект может ограничиваться лишь минимальным (56-разрядным) шифрованием при работе через виртуальную сеть, а финансовая и плановая информация компании требует более мощных средств шифрования — 168-разрядных.
Протоколы виртуальных частных сетей
В настоящее время наиболее распространенным протоколом VPN является протокол двухточечной туннельной связи (Point-to-Point Tunnelling Protocol – PPTP). Разработан он компаниями 3Com и Microsoft с целью предоставления безопасного удаленного доступа к корпоративным сетям через Интернет. PPTP использует существующие открытые стандарты TCP/IP и во многом полагается на устаревший протокол двухточечной связи РРР. На практике РРР так и остается коммуникационным протоколом сеанса соединения РРТР.
РРТР создает туннель через сеть к NT-серверу получателя и передает по нему РРР-пакеты удаленного пользователя. Сервер и рабочая станция используют виртуальную частную сеть и не обращают внимания на то, насколько безопасной или доступной является глобальная сеть между ними. Завершение сеанса соединения по инициативе сервера (в отличие от специализированных серверов удаленного доступа) позволяет администраторам локальной сети не пропускать удаленных пользователей за пределы системы безопасности Windows NT Server. В результате пользователь использует виртуальную частную сеть, не нанося при этом ущерба функциональным возможностям общедоступной сети. Все службы домена NT, включая DHCP, WINS и доступ к Network Neighborhood, безо всяких оговорок предоставляются удаленному пользователю.
Хотя компетенция протокола РРТР распространяется только на устройства, работающие под управлением Windows, он предоставляет компаниям возможность взаимодействовать с существующими сетевыми инфраструктурами и не наносить вред собственной системе безопасности. Таким образом, удаленный пользователь может подключиться к Интернету с помощью местного провайдера по аналоговой телефонной линии или каналу ISDN и установить соединение с сервером NT. При этом компании не приходится тратить большие суммы на организацию и обслуживание пула модемов, предоставляющего услуги удаленного доступа.
В ближайшем будущем ожидается рост количества виртуальных частных сетей, развернутых на базе нового протокола туннелирования второго уровня (Layer 2 Tunneling Protocol – L2TP). Этот протокол позволяет объединить функционирующие на втором уровне PPTP и L2F (Layer 2 Forwarding – протокол пересылки второго уровня) и расширить их возможности. Одной из них является многоточечное Туннелирование, позволяющее пользователям инициировать создание нескольких сетей VPN, например, для одновременного доступа к Интернету и корпоративной сети.
Протоколы L2TP и PPTP отличаются от протоколов туннелирования третьего уровня рядом особенностей:
1. Предоставление корпорациям возможности самостоятельно выбирать способ аутентификации пользователей и проверки их полномочий – на собственной «территории» или у провайдера Интернет-услуг. Обрабатывая туннелированные пакеты PPP, серверы корпоративной сети получают всю информацию, необходимую для идентификации пользователей.
2. Поддержка коммутации туннелей – завершения одного туннеля и инициирования другого к одному из множества потенциальных терминаторов. Коммутация туннелей позволяет как бы продлить PPP — соединение до необходимой конечной точки.
3. Предоставление системным администраторам корпоративной сети возможности реализации стратегий назначения пользователям прав доступа непосредственно на брандмауэре и внутренних серверах. Поскольку терминаторы туннеля получают пакеты PPP со сведениями о пользователях, они в состоянии применять сформулированные администраторами стратегии безопасности к трафику отдельных пользователей. (Туннелирование третьего уровня не позволяет различать поступающие от провайдера пакеты, поэтому фильтры стратегии безопасности приходится применять на конечных рабочих станциях и сетевых устройствах.) Кроме того, в случае использования туннельного коммутатора появляется возможность организовать «продолжение» туннеля второго уровня для непосредственной трансляции трафика отдельных пользователей к соответствующим внутренним серверам. На такие серверы может быть возложена задача дополнительной фильтрации пакетов.
Заключение
На сегодняшний день в мире информация играет такую же важную роль, как воздух, которым мы дышим. Мир не мыслит себя без Интернета и повсеместно развитых коммуникационных сетей (телефонных, телеграфных, теле-, радио-, мобильной связи). Наиболее требовательными к качеству связи в принципе, и в частности к ее защищенности, являются, пожалуй, различные коммерческие структуры, фирмы, корпорации.
Технология VPN появилась на свет как объективный результат наличия потребности в защищенной и удобной связи между локальными информационными центрами (локальными сетями), либо удаленного доступа тех же характеристик к подобным центрам. Эта технология предоставляет достаточно удобное и функциональное средство для решения описанных задач коммуникации. Причем, что немаловажно, реализация VPN значительно дешевле, чем реализация пожалуй единственной достойной альтернативы – построения системы собственных выделенных линий связи. Это достигается тем, что VPN эффективно использует широко развитую систему предоставления услуг доступа в Интернет, распространенную буквально во всем мире.
Вполне естественно, что основными потребителями VPN видимо станут средние и крупные коммерческие организации и фирмы, которые, активно развиваясь, будут нуждаться в эффективном решении задач коммуникации между своими филиалами, офисами, а также задач удаленного доступа к своим локальным сетям собственных сотрудников.
Безусловно, никакая технология, и VPN в том числе, не обеспечит идеальной защиты информации. В конце концов, кроме атак на криптографические алгоритмы, ключи, операционные системы и т.д. существуют еще и так называемые атаки на пользователей. Не стоит забывать, что c VPN работают люди, и человеческий фактор в системе безопасности также важен. Так пользователь может потерять дискету с секретными ключами, или записать свой пароль на бумаге, и оставить ее на своем рабочем столе, или даже просто выбрать для пароля легко угадываемое осмысленное слово/фразу.
Подводя итог, можно сказать, что VPN на сегодняшний день – самое выгодное по соотношению цена/качество средство защищенного обмена информацией между двумя сетями или сетью и удаленным пользователем.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
- Виртуальные частные сети и другие способы защиты информации.//Мир ПК. – 2002. — №4. – с. 92
- VPN – Старые песни о главном.//КомпьютерПресс. – 2001. — №5.
- Виртуальные частные сети.//PC Magazine.– 2000. — №6.
- Лукацкий А. Неизвестная VPN / Компьютер Пресс.-М.: №10, 2001; http://abn.ru/inf/compress/network4.shtml
- Норманн Р. Выбираем протокол VPN /Windows IT Pro. — М.: №7, 200;
- http://www.osp.ru/win2000/2001/07/010.htm
- Петренко С. Защищенная виртуальная частная сеть: современный взгляд на защиту конфиденциальных данных / Мир Internet. — М.: №2, 2001;
- Салливан К. Прогресс технологии VPN. PCWEEK/RE, — М.: №2, 1999;
- Файльнер М. Виртуальные частные сети нового поколения LAN/Журнал сетевых решений,- М.: №11, 2005; http://www.osp.ru/lan/2005/11/030.htm