VPN – решения для построения защищенных корпоративных сетей

Введение

Классификация сетей VPN

Классификация VPN по архитектуре технического решения

Классификация VPN по способу технической реализации

Заключение

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

Введение

В последнее время в мире телекоммуникаций наблюдается повышенный интерес к виртуальным частным сетям (Virtual Private Network – VPN). Это обусловлено необходимостью снижения расходов на содержание корпоративных сетей за счет более дешевого подключения удаленных офисов и удаленных пользователей через сеть Internet. Действительно, при сравнении стоимости услуг по соединению нескольких сетей через Internet, например, с сетями Frame Relay можно заметить существенную разницу в стоимости. Однако необходимо отметить, что при объединении сетей через Internet, сразу же возникает вопрос о безопасности передачи данных, поэтому возникла необходимость создания механизмов позволяющих обеспечить конфиденциальность и целостность передаваемой информации. Сети, построенные на базе таких механизмов, и получили название VPN.

Кроме того, очень часто современному человеку, развивая свой бизнес, приходится много путешествовать. Это могут быть поездки в отдаленные уголки нашей страны или в страны зарубежья. Нередко людям нужен доступ к своей информации, хранящейся на их домашнем компьютере, или на компьютере фирмы. Эту проблему можно решить, организовав удалённый доступ к нему с помощью модема и телефонной линии. Использование телефонной линии имеет свои особенности. Недостатки этого решения в том, что звонок с другой страны стоит немалых денег. Есть и другое решение под названием VPN. Преимущества технологии VPN в том, что организация удалённого доступа делается не через телефонную линию, а через Internet, что намного дешевле и лучше. По моему мнению, технология

В настоящее время технологии построения виртуальных защищенных частных сетей (VPN) привлекают все больше внимания со стороны крупных компаний (банков, ведомств, крупных государственных структур и т. д.). Причина такого интереса заключается в том, что VPN — технологии действительно дают возможность не только существенно сократить расходы на содержание выделенных каналов связи с удаленными подразделениями (филиалами), но и повысить конфиденциальность обмена информацией.

VPN — технологии позволяют организовывать защищенные туннели как между офисами компании, так и к отдельным рабочим станциям и серверам. Потенциальным клиентам предлагается широкий спектр оборудования и ПО для создания виртуальных защищенных сетей — от интегрированных многофункциональных и специализированных устройств до чисто программных продуктов.

Классификация сетей VPN

Благодаря технологии VPN многие компании начинают строить свою стратегию с учетом использования Интернета в качестве главного средства передачи информации, причем даже той, которая является уязвимой или жизненно важной.

Существуют разные признаки классификации VPN. Наиболее часто используются:

• «рабочий» уровень модели OSI;

• архитектура технического решения VPN;

• способ технической реализации VPN.

Классификация VPN по «рабочему» уровню модели OSI

Для технологий безопасной передачи данных по общедоступной (незащищенной) сети применяют обобщенное название — защищенный канал (securechannel). Термин «канал» подчеркивает тот факт, что защита данных обеспечивается между двумя узлами сети (хостами или шлюзами) вдоль некоторого виртуального пути, проложенного в сети с коммутацией пакетов.

Защищенный канал можно построить с помощью системных средств, реализованных на разных уровнях модели взаимодействия открытых систем OSI (рис. 1.1).

Протоколы защищенного доступа

Прикладной

Влияют на приложения

Представительный

Сеансовый

Транспортный

Прозрачны для приложений

Сетевой

Канальный

Физический

Рисунок. 1.1. Уровни протоколов защищенного канала

Классификация VPN по «рабочему» уровню модели OSI представляет значительный интерес, поскольку от выбранного уровня OSI во многом зависит функциональность реализуемой VPN и ее совместимость с приложениями КИС, а также с другими средствами защиты.

По признаку «рабочего» уровня модели OSI различают следующие группы VPN:

  • VPN канального уровня;
  • VPN сетевого уровня;
  • VPN сеансового уровня.

VPN канального уровня. Средства VPN, используемые на канальном уровне модели OSI, позволяют обеспечить инкапсуляцию различных видов трафика третьего уровня (и выше) и построение виртуальных туннелей типа «точка—точка» (от маршрутизатора к маршрутизатору или от персонального компьютера к шлюзу ЛВС). К этой группе относятся VPN-продукты, которые используют протоколы L2F (Layer 2 Forwarding) и РРТР (Point-to-PointTunneling Protocol), а также стандарт L2TP (Layer 2 Tunneling Protocol), разработанный совместно фирмами Cisco Systems и Microsoft.

VPN сетевого уровня. VPN-продукты сетевого уровня выполняют инкапсуляцию IP в IP. Одним из широко известных протоколов на этом уровне является протокол IPSec (IP Security), предназначенным для аутентификации, туннелирования и шифрования IP — пакетов. Стандартизованный консорциумом InternetEngineering Task Force (IETF) протокол IPSec вобрал в себя все лучшие решения по шифрованию пакетов и должен войти в качестве обязательного компонента в протокол IPv6.

С протоколом IPSec связан протокол IKE (Internet Key Exchange), решающий задачи безопасного управления и обмена криптографическими ключами между удаленными устройствами. Протокол IKE автоматизирует обмен ключами и устанавливает защищенное соединение, тогда как IPSec кодирует и «подписывает» пакеты. Кроме того, IKE позволяет изменять ключ для уже установленного соединения, что повышает конфиденциальность передаваемой информации.

VPN сеансового уровня. Некоторые VPN используют другой подход под названием «посредники каналов» (circuit proxy). Этот метод функционирует над транспортным уровнем и ретранслирует трафик из защищенной сети в общедоступную сеть Internet для каждого сокета в отдельности. (Сокет IP идентифицируется комбинацией TCP — соединения и конкретного порта или заданным портом UDP. Стек TCP/IP не имеет пятого — сеансового — уровня, однако ориентированные на сокеты операции часто называют операциями сеансового уровня.)

Шифрование информации, передаваемой между инициатором и терминатором туннеля, часто осуществляется с помощью защиты транспортного уровняTLS (Transport Layer Security). Для стандартизации аутентифицированного прохода через МЭ консорциум IETF определил протокол под названием SOCKS, и в настоящее время протокол SOCKS v.5 применяется для стандартизованной реализации посредников каналов.

Протоколы защиты на канальном, транспортном и сеансовом уровнях подробно рассматриваются в гл. 11. Особенности защиты на сетевом уровне с помощью протоколов IPSec и IKE разбираются в гл. 12.

Классификация VPN по архитектуре технического решения

По архитектуре технического решения принято выделять три основных вида виртуальных частных сетей:

  • внутрикорпоративные VPN (Intranet VPN);
  • VPN с удаленным доступом (Remote Access VPN);
  • межкорпоративные VPN (Extranet VPN).

Внутрикорпоративные сети VPN предназначены для обеспечения защищенного взаимодействия между подразделениями внутри предприятия или между группой предприятий, объединенных корпоративными сетями связи, включая выделенные линии.

VPN с удаленным доступом предназначены для обеспечения защищенного удаленного доступа к корпоративным информационным ресурсам мобильным и/или удаленным (home-office) сотрудникам компании.

Межкорпоративные сети VPN предназначены для обеспечения защищенного обмена информацией со стратегическими партнерами по бизнесу, поставщиками, крупными заказчиками, пользователями, клиентами и т. д. Extranet VPN обеспечивает прямой доступ из сети одной компании к сети другой компании и тем самым способствует повышению надежности связи, поддерживаемой в ходе делового сотрудничества.

Следует отметить, что в последнее время наблюдается тенденция к конвергенции различных конфигураций VPN.

Классификация VPN по способу технической реализации

Конфигурация и характеристики виртуальной частной сети во многом определяются типом применяемых VPN — устройств.

По способу технической реализации различают VPN на основе:

  • маршрутизаторов;
  • межсетевых экранов;
  • программных решений;
  • специализированных аппаратных средств со встроенными шифропроцессорами.

VPN на основе маршрутизаторов. Данный способ построения VPN предполагает применение маршрутизаторов для создания защищенных каналов. Поскольку вся информация, исходящая из локальной сети, проходит через маршрутизатор, то вполне естественно возложить на него и задачи шифрования. Пример оборудования для VPN на маршрутизаторах — устройства компании Cisco Systems.

VPN на основе межсетевых экранов. МЭ большинства производителей поддерживают функции туннелирования и шифрования данных, например продукт Fire Wall-1 компании Check Point Software Technologies. При использовании МЭ на базе ПК нужно помнить, что подобное решение подходит только для небольших сетей с небольшим объемом передаваемой информации. Недостатками этого метода являются высокая стоимость решения в пересчете на одно рабочее место и зависимость производительности от аппаратного обеспечения, на котором работает МЭ.

VPN на основе программного обеспечения. VPN — продукты, реализованные программным способом, с точки зрения производительности уступают специализированным устройствам, однако обладают достаточной мощностью для реализации VPN-сетей. Следует отметить, что в случае удаленного доступа требования к необходимой полосе пропускания невелики. Поэтому чисто программные продукты легко обеспечивают производительность, достаточную для удаленного доступа. Несомненным достоинством программных продуктов является гибкость и удобство в применении, а также относительно невысокая стоимость.

VPN на основе специализированных аппаратных средств. Главное преимущество таких VPN — высокая производительность, поскольку быстродействие обусловлено тем, что шифрование в них осуществляется специализированными микросхемами. Специализированные VPN — устройства обеспечивают высокий уровень безопасности, однако они дороги.

VPN канального уровня. Средства VPN, используемые на канальном уровне модели OSI, позволяют обеспечить инкапсуляцию различных видов трафика третьего уровня (и более высоких уровней) и построение виртуальных туннелей типа точка-точка (от маршрутизатора к маршрутизатору или от персонального компьютера к шлюзу ЛВС). К этой группе относятся VPN-продукты, которые используют протоколы L2F (Layer 2 Forwarding) и РРТР (Point-to-Point Tunneling Protocol), а также стандарт L2TP (Layer 2 Tunneling Protocol), разработанный совместно фирмами Cisco Systems и Microsoft.

Протокол защищенного капала РРТР основан иа протоколе РРР, который широко используется в соединениях точка-точка, например при работе по выделенным линиям. Протокол РРТР обеспечивает прозрачность средств защиты для приложений и служб прикладного уровня и нс зависит от применяемого протокола сетевого уровня. В частности, протокол РРТР может переносить пакеты как в сетях IP, так и в сетях, работающих на основе протоколов IPX, DECnct или NetBEUI. Однако, поскольку протокол РРР используется далеко не во всех сетях (в большинстве локальных сетей на канальном уровне работает протокол Ethernet, а в глобальных протоколы ATM, Frame Relay), то РРТР нельзя считать универсальным средством. В разных частях крупной составной сети, вообще говоря, используются разные канальные протоколы, поэтому проложить защищенный капал через эту гетерогенную среду с помощью единого протокола канального уровня невозможно.

Протокол L2TP станет, вероятно, доминирующим решением для организации удаленного доступа к ЛВС (поскольку базируется в основном на ОС Windows). Между тем решения второго уровня не приобретут, вероятно, такое же значение для взаимодействия ЛВС по причине недостаточной масштабируемости при необходимости иметь несколько туннелей с общими конечными точками.

VPN сетевого уровня. VPN-продукты сетевого уровня выполняют инкапсуляцию IP в IP. Одним из широко известных протоколов на этом уровне является протокол SKIP, который постепенно вытесняется протоколом IPSec (IP Security), предназначенным для аутентификации, туннелирования и шифрования 1Р-паке-тов. Стандартизованный консорциумом Internet Engineering Task Force (IETF), протокол IPSec вобрал в себя все лучшие решения по шифрованию пакетов и должен войти в качестве обязательного компонента в протокол IPv6.

Работающий на сетевом уровне протокол IPSec является компромиссным вариантом. С одной стороны, он прозрачен для приложений, а с другой — он может работать практически во всех сетях, так как основан на широко распространенном протоколе IP. В настоящее время в мире только 1% компьютеров не поддерживает IP вообще, остальные 99% используют его либо как единственный протокол, либо в качестве одного из нескольких протоколов. Протокол IPSec предусматривает стандартные методы идентификации пользователей или компьютеров при инициации туннеля, стандартные способы использования шифрования конечными точками туннеля, а также стандартные методы обмена и управления ключами шифрования между конечными точками.

Протокол IPSec стремительно завоевывает популярность и станет, вероятно, доминирующим методом VPN для взаимодействия ЛВС. Между тем ие следует забывать, что спецификация IPSec ориентирована на IP и, таким образом, нс подходит для трафика любых других протоколов сетевого уровня. Протокол IPSec может работать совместно с протоколом L2TP, в результате эти два протокола обеспечивают более надежную идентификацию, стандартизованное шифрование и целостность данных. Туннель IPSec между двумя локальными сетями может поддерживать множество индивидуальных каналов передачи данных, в результате чего приложения данного типа получают преимущества с точки зрения масштабирования по сравнению с технологией второго уровня.

С протоколом IPSec связан протокол IKE (Internet Key Exchange), решающий задачи безопасного управления и обмена криптографическими ключами между удаленными устройствами. Протокол IKE автоматизирует обмен ключами и устанавливает защищенное соединение, тогда как IPSec кодирует и «подписывает» пакеты. Кроме того, IKE позволяет изменять ключ для уже установленного соединения, что повышает конфиденциальность передаваемой информации.

VPN сеансового уровня. Некоторые VPN используют другой подход под названием «посредники каналов» (circuit proxy). Этот метод функционирует над транспортным уровнем и ретранслирует трафик из защищенной сети в общедоступную сеть Интернет для каждого сокета в отдельности. (Сокет IP идентифицируется комбинацией TCP-соединения и конкретного порта или заданным портом UDP Стек TCP/IP не имеет пятого — сеансового — уровня, однако ориентированные на сокеты операции часто называют операциями сеансового уровня.)

Шифрование информации, передаваемой между инициатором и терминатором туннеля, часто осуществляется с помощью защиты транспортного уровня TLS (Transport Layer Security). Для стандартизации аутентифицированного прохода через межсетевые экраны консорциум IETF определил протокол под названием SOCKS, и в настоящее время протокол SOCKS v.5 применяется для стандартизованной реализации посредников каналов.

В протоколе SOCKS v.5 клиентский компьютер устанавливает аутентифицированный сокет (или сеанс) с сервером, выполняющим роль посредника (proxy). Этот посредник — единственный способ связи через межсетевой экран. Посредник, в свою очередь, проводит любые операции, запрашиваемые клиентом. Поскольку посреднику известно о трафике на уровне сокета, он может осуществлять тщательный контроль, например блокировать конкретные приложения пользователей, если они не имеют необходимых полномочий. Для сравнения, виртуальные частные сети уровней 2 и 3 обычно просто открывают или закрывают канал для всего трафика по аутентифицированному туннелю. Это может представлять проблему, если пользователь не до конца доверяет сети на другом конце туннеля.

Если протокол IPSec, по существу, распространяет сеть IP на защищенный туннель, то продукты на базе протокола SOCKS расширяют ее на каждое приложение и каждый сокет в отдельности. В отличие от решений уровней 2 и 3, где созданные туннели второго и третьего уровней функционируют одинаково в обоих направлениях, сети VPN уровня 5 допускают независимое управление передачей в каждом направлении. Аналогично протоколу IPSec и протоколам второго уровня, сети VPN уровня 5 можно использовать с другими типами виртуальных частных сетей, поскольку данные технологии не являются взаимоисключающими.

VPN на основе маршрутизаторов. Данный способ построения VPN предполагает применение маршрутизаторов для создания защищенных каналов. Поскольку вся информация, исходящая из локальной сети, проходит через маршрутизатор, то вполне естественно возложить на него и задачи шифрования. Пример оборудования для VPN на маршрутизаторах — устройства компании Cisco Systems.

VPN на основе межсетевых экранов. Межсетевые экраны большинства производителей поддерживают функции туннелирования и шифрования данных. В качестве примера решения на основе межсетевых экранов можно назвать продукт FireWall-1 компании Check Point Software Technologies. При использовании межсетевых экранов на базе ПК надо помнить, что подобное решение подходит только для относительно малых сетей с небольшим объемом передаваемой информации. Недостатками этого метода являются высокая стоимость решения в пересчете на одно рабочее место и зависимость производительности от аппаратного обеспечения, на котором работает межсетевой экран.

VPN на основе программного обеспечения. VPN-продукты, реализованные программным способом, с точки зрения производительности уступают специализированным устройствам, однако обладают достаточной мощностью для реализации VPN-сетей. Следует отметить, что в случае удаленного доступа требования к необходимой полосе пропускания невелики. Поэтому чисто программные продукты легко обеспечивают производительность, достаточную для удаленного доступа.

VPN на основе специализированных аппаратных средств. Главным преимуществом VPN на основе специализированных аппаратных средств является их высокая производительность. Более высокое быстродействие специализированных VPN-систсм обусловлено тем, что шифрование в них осуществляется специализированными микросхемами. Специализированные VPN-устройства обеспечивают высокий уровень безопасности, однако обладают значительной стоимостью.

Заключение

В данном реферате мы рассмотрели протоколы и методы реализации частных виртуальных сетей. Преимущества технологии VPN в том, что организация удалённого доступа делается не через телефонную линию, а через Интернет, что намного дешевле и лучше. Недостаток технологии VPN в том, что средства построения VPN не являются полноценными средствами обнаружения и блокирования атак. Они могут предотвратить ряд несанкционированных действий, но далеко не все возможности, которые могут использоваться для проникновения в корпоративную сеть. Но, несмотря на все это технология VPN имеет перспективы на дальнейшее развитие.

Чего же можно ожидать в плане развития технологий VPN в будущем? Без всякого сомнения, будет выработан и утвержден единый стандарт построения подобных сетей. Скорее всего, основой этого стандарта будет, уже зарекомендовавший себя протокол IPSec. Далее, производители сконцентрируются на повышении производительности своих продуктов и на создании удобных средств управления VPN. Скорее всего, развитие средств построения VPN будет идти в направлении VPN на базе маршрутизаторов, так как данное решение сочетает в себе достаточно высокую производительность, интеграцию VPN и маршрутизации в одном устройстве. Однако будут развиваться и недорогие решения для небольших организаций. В заключение, надо сказать, что, несмотря на то, что технология VPN еще очень молода, ее ожидает большое будущее.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

  1. Лукацкий А. Неизвестная VPN / Компьютер Пресс.-М.: №10, 2001; http://abn.ru/inf/compress/network4.shtml
  2. Норманн Р. Выбираем протокол VPN /Windows IT Pro. – М.: №7, 200;
  3. http://www.osp.ru/win2000/2001/07/010.htm
  4. Петренко С. Защищенная виртуальная частная сеть: современный взгляд на защиту конфиденциальных данных / Мир Internet. – М.: №2, 2001;
  5. Салливан К. Прогресс технологии VPN. PCWEEK/RE, – М.: №2, 1999;
  6. Файльнер М. Виртуальные частные сети нового поколения LAN/Журнал сетевых решений, – М.: №11, 2005;
  7. http://www.osp.ru/lan/2005/11/030.htm
  8. Фратто М. Секреты виртуальных частных сетей. Сети и системы связи, №3, 1998;
  9. Штайнке С. VPN между локальными сетями. LAN/Журнал сетевых решений, – М.: №10,1998;
  10. http://www.hub.ru/archives/2269
  11. http://www.informit.com
  12. http://www.mirreferatov.com
  13. http://www.osp.ru/pcworld/2008/09
  14. http://www.referat.su
  15. http://www.ssl.stu.neva.ru/psw/crypto/pptp.html
  16. http://www.xakep.ru
  17. http://www.xserver.ru/computer/protokol/razn/13/