Разработка виртуальной компьютерной сети
ДЕПАРТАМЕНТ
ОБРАЗОВАНИЯ, НАУКИ И МОЛОДЕЖНОЙ ПОЛИТИКИ ВОРОНЕЖСКОЙ ОБЛАСТИ
Государственное
образовательное бюджетное учреждение
среднего
профессионального образования Воронежской области
Воронежский
государственный промышленно-гуманитарный колледж
(ГОБУ СПО ВО
«ВГПГК»)
Кафедра
Вычислительной техники
Специальность
090305 «Информационная безопасность автоматизированных систем»
Курсовая
работа
по
дисциплине: Сети и системы передачи информации
на тему:
Разработка виртуальной компьютерной сети
Воронеж 2014
Содержание
Введение
1. VPN -
Виртуальные частные сети
1 Что
такое VPN
2 Принцип
работы технологии VPN
2. Технология
виртуальных защищенных сетей
1 Обзор
технологии VPN
2 Классификация
виртуальных сетей
3 Процесс
обмена данными в VPN
4 Защищенные
протоколы обмена информацией PPTP
5 Преимущества
и недостатки технологии VPN
3. Архитектура
виртуальных защищенных сетей
1 Виртуальные
сети внутри локальной сети
2 Соединение
локальной сети с другой локальной сетью и удаленными пользователями
3 Защита
сегментов локальной сети
4 Произвольная
распределенная сеть
5 Технология
«Открытый Интернет»
4. Интегрированная
виртуальная защищенная среда
Заключение
Список используемых источников
Введение
Современное развитие информационных технологий
и, в частности, сети Internet, приводит к необходимости защиты информации,
передаваемой в рамках распределенной корпоративной сети, использующей сети
открытого доступа. При использовании своих собственных физических каналов
доступа эта проблема так остро не стоит, так как в эту сеть не имеет доступа
никто из посторонних. Однако стоимость таких каналов высока, поэтому не каждая
компания позволит себе использовать их. В связи с этим Internet является
наиболее доступным. Internet является незащищенной сетью, поэтому приходиться
изобретать способы защиты конфиденциальных данных, передаваемых по незащищенной
сети.- это технология, которая объединяет доверенные сети, узлы и пользователей
через открытые сети, которым нет доверия". На мой взгляд, это наиболее
яркий образ технологии, которая получает все большее распространение среди не
только технических специалистов, но и среди рядовых пользователей, которым
также требуется защищать свою информацию (например, пользователи
Internet-банков или Internet-порталов).
Специалисты в области технологии VPN используют
сугубо технические понятия, такие как "используемый алгоритм
криптографического преобразования", "туннелирование",
"сервер сертификатов" и т.д. Но для конечных пользователей эта
терминология ничего не скажет. Скорее их интересует несколько иная
интерпретация вопросов - сколько лет можно не беспокоиться за сохранность своей
информации и насколько медленнее будет работать сеть, защищенная с помощью
VPN-устройства.
1. VPN - виртуальные частные сети
Любая организация, будь она производственной,
торговой, финансовой компании или государственным учреждением, обязательно
сталкивается с вопросом передачи информации между своими филиалами, а также с
вопросом защиты этой информации. Не каждая фирма может себе позволить иметь
собственные физические каналы доступа, и здесь помогает технология VPN, на
основе которой и соединяются все подразделения и филиалы, что обеспечивает
достаточную гибкость и одновременно высокую безопасность сети, а также
существенную экономию затрат.
Виртуальная частная сеть (VPN - Virtual
Private Network)
создается на базе общедоступной сети Интернет. И если связь через Интернет
имеет свои недостатки, главным из которых является то, что она подвержена
потенциальным нарушениям защиты и конфиденциальности, то VPN могут
гарантировать, что направляемый через Интернет трафик так же защищен, как и
передача внутри локальной сети. В тоже время виртуальные сети обеспечивают
существенную экономию затрат по сравнению с содержанием собственной сети
глобального масштаба.
1.1 Что такое VPN
Что же такое VPN? Существует множество
определений, однако главной отличительной чертой данной технологии является
использование сети Internet в качестве магистрали для передачи корпоративного
IP-трафика. Сети VPN предназначены для решения задач подключения конечного
пользователя к удаленной сети и соединения нескольких локальных сетей.
Структура VPN включает в себя каналы глобальной сети, защищенные протоколы и
маршрутизаторы.
1.2 Принцип работы технологии VPN
устройство располагается между внутренней сетью
и Интернет на каждом конце соединения. Когда данные передаются через VPN, они
исчезают «с поверхности» в точке отправки и вновь появляются только в точке
назначения. Этот процесс принято называть «туннелированием». Это означает
создание логического туннеля в сети Интернет, который соединяет две крайние
точки. Благодаря туннелированию частная информация становится невидимой для
других пользователей Интернета. Прежде чем попасть в интернет-туннель, данные
шифруются, что обеспечивает их дополнительную защиту. Протоколы шифрования
бывают разные. Все зависит от того, какой протокол туннелирования
поддерживается тем или иным VPN-решением. Еще одной важной характеристикой
VPN-решений является диапазон поддерживаемых протоколов аутентификации. Большинство
популярных продуктов работают со стандартами, основанными на использовании
открытого ключа, такими как X.509. Это означает, что, усилив свою виртуальную
частную сеть соответствующим протоколом аутентификации, вы сможете
гарантировать, что доступ к вашим защищенным туннелям получат только известные
вам люди.
Рисунок 1. Принцип работы технологии VPN
2. Технология виртуальных защищенных
сетей
.1 Обзор технологии VPN
Технология VPN создает виртуальные каналы связи через
общедоступные сети, так называемые «VPN-туннели». Трафик, проходящий через
туннели, связывающие удаленные филиалы, шифруется. Злоумышленник, перехвативший
шифрованную информацию, не сможет просмотреть ее, так как не имеет ключа для
расшифровки.
Для пользователей VPN-туннели абсолютно
прозрачны. К примеру, студент МИРЭА получает доступ к данными, находящимся в
базе данных МИЭМ также просто, как и к данным у себя в институте. Таким
образом, VPN это логическая сеть. Она создается поверх другой сети, например,
интернет. Несмотря на то, что коммуникации осуществляются по публичным сетям, с
использованием небезопасных протоколов, за счёт шифрования создаются закрытые
от посторонних каналы обмена информацией. VPN позволяет объединить, например,
несколько филиалов ВУЗа в единую сеть с использованием для связи между ними
неподконтрольных каналов.
Чаще всего для создания виртуальной сети
используется инкапсуляция протокола PPP в какой-нибудь другой протокол - IP
(такой способ использует реализация PPTP - Point-to-Point
Tunneling
Protocol) или Ethernet (PPPoE).
Технология VPN последнее время используется не только для создания собственно
частных сетей, но и некоторыми провайдерами для предоставления выхода в
Интернет.состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых
может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное
соединение (обычно используется Интернет). Возможно также подключение к
виртуальной сети отдельного компьютера. Подключение удалённого пользователя к
VPN производится посредством сервера доступа, который подключён как к
внутренней, так и к внешней (общедоступной) сети. При подключении удалённого
пользователя (либо при установке соединения с другой защищённой сетью) сервер
доступа требует прохождения процесса идентификации, а затем процесса
аутентификации. После успешного прохождения обоих процессов, удалённый
пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то
есть происходит процесс авторизации.
Одним из главных достоинств Internet является
то, что она широкодоступна. Однако связь через Internet имеет свои недостатки,
главным из которых является то, что она подвержена потенциальным нарушениям
защиты и конфиденциальности. При использовании Internet в качестве расширения
собственной сети, информация проходит по общедоступным каналам, и всякий, кто
может установить на ее пути анализатор протоколов, имеет потенциальную
возможность перехватить эту информацию. И здесь на помощь приходит технология
VPN. Виртуальные частные сети могут гарантировать, что направляемый через
Internet трафик так же защищен, как и передачи внутри локальной сети, при
сохранении всех финансовых преимуществ, которые можно получить, используя
Internet. Современное состояние технологии VPN позволяет обеспечить достаточную
гибкость на случай будущего расширения сети при сохранении высокой надежности и
безопасности. А главное, виртуальные сети обеспечивают существенную экономию
затрат по сравнению с содержанием собственной сети глобального масштаба. Однако
при этом надо помнить, что внедрение решений на основе VPN может привести к
снижению производительности и потребовать значительных начальных затрат.
Поэтому решение вопроса о выборе VPN или альтернативного решения требует
тщательного анализа.устройство располагается между внутренней сетью и Internet
на каждом конце соединения. Когда информация передается через VPN, она исчезает
"с поверхности" в точке отправки и вновь появляется только в точке
назначения. Этот процесс принято называть "туннелированием". Как
можно догадаться из названия, это означает создание логического туннеля в сети
Internet, который соединяет две крайние точки. Благодаря туннелированию частная
информация становится невидимой для других пользователей Web.
Прежде чем попасть в Internet-туннель, данные еще и шифруются, что обеспечивает
их дополнительную защиту. Протоколы шифрования бывают разные. Все зависит от
того, какой протокол туннелирования поддерживается тем или иным VPN-решением. IPSec
поддерживает самый широкий спектр стандартов шифрования, включая DES (Data
Encryption
Standard) и Triple
DES. Еще одной важной характеристикой VPN-решений является диапазон
поддерживаемых протоколов аутентификации. Большинство популярных продуктов
работают со стандартами, основанными на использовании открытого ключа, такими как
X.509. Это означает, что, усилив свою виртуальную частную сеть соответствующим
протоколом аутентификации, вы сможете гарантировать, что доступ к вашим
защищенным туннелям получат только известные вам люди.
Виртуальные частные сети часто используются в
сочетании с межсетевыми экранами. Ведь VPN обеспечивает защиту корпоративных
данных только во время их движения по Internet и не может защитить внутреннюю
сеть от проникновения злоумышленников.
2.2 Классификация виртуальных сетей
Классифицировать VPN решения можно по нескольким
основным параметрам:
По типу используемой среды:
Ø Защищённые.
Наиболее распространённый вариант приватных частных сетей. C его помощью
возможно создать надежную и защищенную подсеть на основе ненадёжной сети, как
правило, Интернета. Примером защищённых VPN являются: IPSec,
OpenVPN
и PPTP.
Ø Доверительные. Используются
в случаях, когда передающую среду можно считать надёжной и необходимо решить
лишь задачу создания виртуальной подсети в рамках большей сети. Вопросы
обеспечения безопасности становятся неактуальными. Примерами подобных
VPN-решений являются: Multi-protocol
label switching
(MPLS) и L2TP (Layer
2 Tunneling
Protocol). (Корректнее
сказать, что эти протоколы перекладывают задачу обеспечения безопасности на
другие, например L2TP, как правило, используется в паре с IPSec)
По способу реализации:
Ø В виде специального
программно-аппаратного обеспечения. Реализация VPN
сети осуществляется при помощи специального комплекса программно-аппаратных
средств. Такая реализация обеспечивает высокую производительность и, как
правило, высокую степень защищённости.
Ø В виде программного решения.
Используют персональный компьютер со специальным программным обеспечением,
обеспечивающим функциональность VPN.
Ø Интегрированное решение.
Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации
сетевого трафика, организации сетевого экрана и обеспечения качества
обслуживания.
По назначению:
Ø Intranet
VPN.
Используют для объединения в единую защищённую сеть нескольких распределённых
филиалов одной организации, обменивающихся данными по открытым каналам связи.
Ø Remote
Access VPN. Используют для создания защищённого канала
между сегментом корпоративной сети (центральным зданием или филиалом) и
одиночным пользователем, который, работая дома, подключается к корпоративным
ресурсам с домашнего компьютера или, находясь в командировке, подключается к
корпоративным ресурсам при помощи ноутбука.
Ø Extranet
VPN. Используют для сетей, к которым подключаются
«внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним
намного ниже, чем к сотрудникам ВУЗа, поэтому требуется обеспечение специальных
«рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо
ценной, конфиденциальной информации.
По типу протокола: существуют реализации
виртуальных частных сетей под TCP/IP, IPX и AppleTalk.
Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол
TCP/IP, и абсолютное большинство VPN решений поддерживает именно его.
По уровню сетевого протокола: на основе
сопоставления с уровнями эталонной сетевой модели ISO/OSI.
2.3 Процесс обмена данными в VPN
Назначение VPN - предоставить пользователям
защищенное соединение к внутренней сети из-за пределов ее периметра, например,
через интернет-провайдера. Основное преимущество VPN состоит в том, что пока
программное обеспечение его поддерживает, пользователь может подключаться к
внутренней сети через любое внешнее соединение. Это означает, что
высокоскоростные устройства, например, ADSL, могут обеспечивать соединение с
внутренней сетью и функционировать с полной нагрузкой. Это особенно удобно для
пользователей, постоянно работающих на дому.
Существует два основных типа VPN. Первое решение
основано на специальном оборудовании; на сервере и клиенте устанавливается
специальное программное обеспечение, обеспечивающее защищенное соединение.
Второй тип решения - это управляемый VPN. В этом сценарии некоторый провайдер
предоставляет пользователям возможность дозвона на свой модемный пул, а затем
устанавливать защищенное соединение с вашей внутренней сетью. Преимущество
этого метода состоит в том, что все управление VPN перекладывается на другую
компанию. Недостатком является то, что как правило эти решения ограничиваются
модемными соединениями, что зачастую сводит на нет преимущества технологии
VPN.использует несколько разных технологий защиты пакетов. Целью VPN является
создание защищенного туннеля между удаленным компьютером и внутренней сетью.
Туннель передает и кодирует трафик через незащищенный мир Интернет. Это
означает, что два сайта ВУЗа могут использовать VPN для связи друг с другом.
Логически это работает как WAN-связь между сайтами.
Удаленный пользователь дозванивается на RAS
1. RAS
аутентифицирует пользователя.
2. Удаленный пользователь запрашивает файл
с кампуса В и этот запрос посылается на сервер VPN.
. Сервер VPN отправляет запрос через
межсетевой экран и далее через Интернет на удаленный кампус.
. Сервер VPN в удаленном кампусе получает
запрос и устанавливает защищенный канал между кампусами А и В.
После установления туннеля, файл пересылается с
кампуса В в кампус А через сервер VPN, а затем удаленному пользователю.
2.4 Защищенные протоколы обмена
информацией PPTP
обеспечивает безопасность инкапсуляцией кадра
PPP в датаграмму IP, передаваемую между сетями. PPTP может использоваться в
схемах LAN-to-LAN
и WAN-to-WAN.
PPTP использует такой же механизм аутентификации, что и PPP. В нем могут
использоваться CHAP, Microsoft CHAP (MS-CHAP), PAP, Shiva
PAP (SPAP), и Extensible
Authentication
Protocol
(EAP).
PPTP может шифровать трафик IP, IPX или NetBEUI.
Туннели устанавливаются, когда оба конца договариваются о параметрах
соединения. Сюда включается согласование адресов, параметры сжатия, тип
шифрования. Сам туннель управляется посредством протокола управления
туннелем.включает много полезных функций. Среди них сжатие и шифрование данных,
разнообразие методов аутентификации. PPTP доступен во всех текущих платформах Windows.
L2TP
PPTP был (и остается) хорошей идеей, но вытесняется другими технологиями. Протокол
Layer 2 Tunneling
Protocol (L2TP) является
комбинацией протоколов PPTP и L2F, предложенный компанией Cisco.
Оба протокола очень сходны по функциям, поэтому
IETF предложила объединить их в один. В результате появился L2TP, описанный в
RFC 2661. L2TP использует достоинства как PPTP, так и L2F.TP инкапсулирует
кадры как сообщения UDP и передает их по сети IP. Эти сообщения используются
для управления и передачи данных Для шифрования используется IPSec. Как и PPTP,
L2TP использует методы те же аутентификации, что и PPP. L2TP также
подразумевает существование межсетевого пространства между клиентом L2TP и
сервером L2TP. Поскольку управлением туннелем L2TP производится по тому же
UDP-соединению, что и передача данных, оба типа пакетов имеют одинаковую структуру.
Стандартный порт L2TP для сервера и клиента в Windows 2000 - 1701 UDP.
Что же в результате выбрать? Если для PPTP
необходима межсетевая среда на базе IP, то L2TP нуждается в соединении
"точка-точка". Это означает, что L2TP может использоваться поверх IP,
Frame Relay,
X.25, ATM. L2TP позволяет иметь несколько туннелей. PPTP ограничен одним
туннелем. L2TP разрешает аутентификацию туннеля Layer
2, а PPTP - нет. Однако, это преимущество игнорируется, если вы используете
IPSec, поскольку в этом случае туннель аутентифицируется независимо от Layer
2. И наконец, размер пакета L2TP на 2 байта меньше за счет сжатия заголовка
пакета.
IPSec
IPSec (сокращение
от IP Security)
- набор протоколов для обеспечения защиты данных, передаваемых по межсетевому
протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование
IP-пакетов. IPSec также
включает в себя протоколы для защищённого обмена ключами в сети Интернет.
IPSec является
неотъемлемой частью IPv6 - интернет-протокола следующего поколения, и необязательным
расширением существующей версии интернет-протокола IPv4. Первоначально
протоколы IPSec были
определены в RFC с номерами от 1825 до 1827, принятые в 1995 году. В 1998 году
были приняты новые редакции стандартов (RFC с 2401 по 2412), несовместимые с
RFC 1825-1827. В 2005 году была принята третья редакция, незначительно
отличающаяся от предыдущей.
Протоколы IPSec
работают на сетевом уровне (слой 3 модели OSI). Другие широко распространённые
защищённые протоколы сети Интернет, такие как SSL и TLS, работают на
транспортном уровне (слои OSI 4 - 7). Это делает IPSec
более гибким, поскольку IPSec
может использоваться для защиты любых протоколов базирующихся на TCP и UDP. В
то же время увеличивается его сложность из-за невозможности использовать
протокол TCP (слой OSI 4) для обеспечения надёжной передачи данных.протоколы
можно разделить на два класса: протоколы, отвечающие за защиту потока
передаваемых пакетов и протоколы обмена криптографическими ключами. На
настоящий момент определён только один протокол обмена криптографическими
ключами - IKE (Internet
Key Exchange).
Два протокола обеспечивающие защиту передаваемого потока - ESP
(Encapsulating
Security
Payload - инкапсуляция
зашифрованных данных) обеспечивает целостность и конфиденциальность
передаваемых данных, в то время как AH (Authentication
Header -
аутентифицирующий заголовок) гарантирует только целостность потока
(передаваемые данные не шифруются).
Протоколы защиты передаваемого потока могут
работать в двух режимах - в транспортном режиме, и в режиме туннелирования. При
работе в транспортном режиме IPSec
работает только с информацией транспортного уровня, в режиме туннелирования - с
целыми IP-пакетами.трафик может маршрутизироваться по тем же правилам, что и
остальные IP-протоколы, но, так как маршрутизатор не всегда может извлечь
информацию характерную для протоколов транспортного уровня, то прохождение IPSec
через NAT-шлюзы невозможно. Для решения этой проблемы IETF определила способ
инкапсуляции ESP в UDP получивший название NAT-T (NAT traversal).
IPSec можно
рассматривать как границу между внутренней (защищённой) и внешней
(незащищённой) сетью. Эта граница может быть реализована как на отдельном
хосте, так и на шлюзе, защищающем локальную сеть. Заголовок любого пакета,
проходящего через границу, анализируется на соответствие политикам
безопасности, то есть критериям, заданным администратором. Пакет может быть
либо передан дальше без изменений, либо уничтожен, либо обработан с помощью
протоколов защиты данных. Для защиты данных создаются так называемые SA (Security
Associations) - безопасные
соединения, представляющие собой виртуальные однонаправленные каналы для
передачи данных. Для двунаправленной связи требуется два SA.
2.5 Преимущества и недостатки
технологии VPN
Преимущества VPN очевидны. Предоставив
пользователям возможность соединяться через Интернет, масштабируемость
достигается в основном увеличением пропускной способности канала связи, когда
сеть становится перегруженной. VPN помогает сэкономить на телефонных расходах,
поскольку вам не требуется иметь дело с пулом модемов. Кроме того, VPN
позволяют получить доступ к сетевым ресурсам, которые в обычной ситуации
администраторы вынуждены выносить на внешнее соединение.
Итак, VPN обеспечивает:
Ø Защищенные каналы связи по цене
доступа в Интернет, что в несколько раз дешевле выделенных линий;
Ø При установке VPN не требуется
изменять топологию сетей, переписывать приложения, обучать пользователей - все
это значительная экономия;
Ø обеспечивается масштабирование,
поскольку VPN не создает проблем роста и сохраняет сделанные инвестиции;
Ø Независимость от криптографии и
можете использовать модули криптографии любых производителей в соответствии с
национальными стандартами той или иной страны;
Ø открытые интерфейсы позволяют
интегрировать вашу сеть с другими программными продуктами и
бизнес-приложениями.
К недостаткам VPN можно отнести сравнительно
низкую надежность. В сравнении с выделенными линиями и сетями на основе Frame
relay виртуальные
частные сети менее надежны, однако в 5-10, а иногда и в 20 раз дешевле. По
мнению аналитиков, это не остановит VPN, это не существенно для большинства
пользователей.
В силу того, что услуга VPN предоставляется и
поддерживается внешним оператором, могут возникать проблемы со скоростью
внесения изменений в базы доступа, в настройки firewall, а также с
восстановлением сломанного оборудования. В настоящее время проблема решается
указанием в договорах максимального времени на устранение неполадок и внесение
изменений. Обычно это время составляет несколько часов, но встречаются
провайдеры, гарантирующие устранение неполадок в течение суток.
Еще один существенный недостаток - у
потребителей нет удобных средств управления VPN. Хотя в последнее время
разрабатывается оборудование, позволяющее автоматизировать управление VPN. Среди
лидеров этого процесса - компания Indus
River Networks
Inc., дочерняя
компания MCI WorldCom
и Novell. В перспективе VPN
сеть должна контролироваться пользователями, управляться
компаниями-операторами, а задача разработчиков программного обеспечения - решить
эту проблему.
3. Архитектура виртуальных
защищенных сетей
Можно выделить четыре основных варианта
построения сети VPN, которые используются во всем мире. Данная классификация
предлагается компанией Check
Point Software
Technologies, которая не без
основания считается основной в области VPN.
Intranet
VPN
Это объединение в единую защищенную сеть
несколько распределенных филиалов одной организации, взаимодействующих по
открытым каналам связи. Именно этот вариант получил широкое распространение во
всем мире, и именно его в первую очередь реализуют компании-разработчики.
Remote
Access
VPN
Этот вариант позволяет реализовать защищенное
взаимодействие между сегментом корпоративной сети (центральным зданием или
филиалом) и одиночным пользователем, который подключается к корпоративным
ресурсам из дома (домашний пользователь) или через notebook
(мобильный пользователь). Данный вариант отличается от первого тем, что
удаленный пользователь, как правило, не имеет статического адреса, и он
подключается к защищаемому ресурсу не через выделенное устройство VPN, а
прямиком со своего собственного компьютера, на котором и устанавливается
программное обеспечение, реализующее функции VPN. Компонент VPN для удаленного
пользователя может быть выполнен как в программном, так и в
программно-аппаратном виде. В первом случае программное обеспечение может быть
как встроенным в операционную систему (например, в Windows 2000), так и
разработанным специально (например, АП "Континент-К"). Во втором
случае для реализации VPN используются небольшие устройства класса SOHO (Small
Office\Home
Office), которые не
требуют серьезной настройки и могут быть использованы даже неквалифицированным
персоналом. Такие устройства получают сейчас широкое распространение за
рубежом.
Client/Server
VPN
Он обеспечивает защиту передаваемых данных между
двумя узлами (не сетями) корпоративной сети. Особенность данного варианта в
том, что VPN строится между узлами, находящимися, как правило, в одном сегменте
сети, например, между рабочей станцией и сервером. Такая необходимость очень
часто возникает в тех случаях, когда в одной физической сети необходимо создать
несколько логических сетей. Например, когда надо разделить трафик между
финансовым департаментом и отделом кадров, обращающихся к серверам, находящимся
в одном физическом сегменте. Этот вариант похож на технологию VLAN, описанную
выше. Но вместо разделения трафика, используется его шифрование.
Extranet
VPN
Предназначен для тех сетей, к которым
подключаются так называемые пользователи "со стороны" (партнеры,
заказчики, клиенты и т.д.), уровень доверия к которым намного ниже, чем к своим
сотрудникам. Хотя по статистике чаще всего именно сотрудники являются причиной
компьютерных преступлений и злоупотреблений.
Средства построения VPN могут быть реализованы
по-разному.
В виде специализированного
программно-аппаратного обеспечения, предназначенного именно для решения задач
VPN. Примером такого решения является российский комплекс
"Континент-К", имеющий необходимые разрешительные документы от
Гостехкомиссии и ФАПСИ. Основное преимущество таких устройств - их высокая
производительность и, более высокая по сравнению с другими решениями,
защищенность. Такие устройства могут применяться в тех случаях, когда
необходимо обеспечить защищенный доступ большого числа абонентов. Недостаток
таких решений состоит в том, что управляются они отдельно от других решений по
безопасности, что усложняет задачу администрирования инфраструктуры
безопасности, особенно при условии нехватки сотрудников отдела защиты
информации. На первое место эта проблема выходит при построении крупной и
территориально-распределенной сети, насчитывающей десятки устройств построения
VPN. И это не считая такого же числа межсетевых экранов, систем обнаружения
атак и т.д. Примером такого решения является Cisco 1720 или Cisco 3000.
В виде программного решения,
устанавливаемого на обычный компьютер, функционирующий, как правило, под
управлением операционной системы Unix. Российские разработчики
"полюбили" ОС FreeBSD. Именно на
ее изученной "вдоль и поперек" базе построены отечественные решения
"Континент-К" и "Шип". Для ускорения обработки трафика
могут быть использованы специальные аппаратные ускорители, заменяющие функции
программного шифрования. Также в виде программного решения реализуется
абонентские пункты, предназначенные для подключения к защищаемой сети удаленных
и мобильных пользователей.
Интегрированные решения, в которых
функции построения VPN реализуются наряду с функцией фильтрации сетевого
трафика, обеспечения качества обслуживания или распределения полосы
пропускания. Основное преимущество такого решения - централизованное управление
всеми компонентами с единой консоли. Второе преимущество - более низкая
стоимость в расчете на каждый компонент по сравнению с ситуацией, когда такие
компоненты приобретаются отдельно. Пожалуй, самым известным примером такого
интегрированного решения является VPN-1 от компании Check Point Software, включающий
в себя помимо VPN-модуля, модуль, реализующий функции межсетевого экрана, модуль,
отвечающий за балансировку нагрузки, распределение полосы пропускания и т.д.
Кроме того, это решение имеет сертификат Гостехкомиссии России.
3.1 Виртуальные сети внутри
локальной сети
Внутри локальной сети путем
установки ПО ViPNet[клиент] на
различные рабочие станции и сервера могут быть созданы взаимно - недоступные
виртуальные защищенные контура для обеспечения функционирования в единой
телекоммуникационной среде различных по конфиденциальности или назначению
информационных задач.
Любой трафик между двумя
компьютерами недоступен никому третьему из любой точки сети.
Несанкционированный доступ из сети на защищенные компьютеры невозможен. ПО ViPNet
[координатор] обеспечивает организацию работы виртуальной сети.
3.2 Соединение локальной сети с
другой локальной сетью и удаленными пользователями
Внутри распределенной сети путем
установки ПО ViPNet [клиент] на
различные рабочие станции и сервера могут быть созданы взаимно - недоступные
виртуальные защищенные контура для обеспечения функционирования в единой
телекоммуникационной среде различных по конфиденциальности или назначению
информационных задач.
ViPNet[координаторы],
установленные на входах в локальную сеть, обеспечивают как туннелирование
(шифрование) трафика заданных адресов открытых компьютеров внутри локальной
сети, так и организацию установки защищенного соединения непосредственно между
компьютерами с ПО ViPNet[клиент]. Естественно во втором
случае можно добиться полной защиты от возможных атак из подсоединяемой
локальной сети.
Установка ПО ViPNet[клиент] на
мобильный компьютер обеспечивает возможность его работы в корпоративной сети,
при этом эффективные атаки на этот компьютер из внешней сети или через этот
компьютер на локальные сети невозможны.
3.3 Защита сегментов локальной сети
При необходимости защиты обращения к
доверенным сегментам локальной сети такой сегмент (например, группа серверов)
может быть спрятан также за ViPNet[координатор]. Тогда
обращение к этому сегменту снаружи будет происходить через два координатора, а
при необходимости еще и через некоторый внешний Firewall, то есть
обеспечивается возможность каскадирования координаторов. Такие обращения будут
защищены от атак как снаружи данной локальной сети, так и из самой локальной
сети.
3.4 Произвольная распределенная сеть
В распределенной сети любой конфигурации с
любыми каналами связи и сетями может быть легко организована виртуальная
защищенная сеть для безопасного и достоверного информационного взаимодействия.
.5 Технология «Открытый Интернет»
Путем установки на выходе из локальной сети
специального ViPNet[координатора]
(Координатор «D») внутри распределенной сети может быть организован виртуальный
контур частично или полностью изолированный от остальной сети, компьютеры
которого могут получать доступ к открытым ресурсам Интернет. При этом весь
потенциально опасный открытый трафик из Интернет зашифровывается на Координаторе
«D» и может быть расшифрован только на компьютерах локальной сети, включенных в
этот виртуальный контур. Любые стратегии атак извне не могут нанести вреда
остальным ресурсам локальной сети. ПО. ViPNet[клиент]
при работе станции в Интернет полностью блокирует любой иной трафик данной
станции в локальной сети.
Установкой распределенной системы программных
сетевых экранов и средств VPN на различные компьютеры можно добиться наиболее
оптимальной и эффективной степени защиты ресурсов и информации в корпоративной
сети от любых посягательств, исходя из важности информационного объекта и
требуемой надежности защиты.
С использованием предлагаемой технологии легко
также обеспечивается защита таких служб, как Voice
IP, видео конференции, систем удаленного управления различными
маршрутизаторами, цифровыми телефонными станциями, других систем удаленного
управления и доступа.
4. Интегрированная виртуальная
защищенная среда
виртуальный частный локальный сеть
Доверительность отношений, безопасность
коммуникаций и технических средств, безопасность и достоверность информационных
ресурсов в корпоративной сети, взаимодействующей также и с внешними
техническими средствами и информационными ресурсами, можно обеспечить только
путем создания, в телекоммуникационной инфраструктуре, корпоративной сети
интегрированной виртуальной защищенной среды, что и реализует технология VPN.
Такая защищенная среда включает:
Ø Распределенную систему межсетевых и
персональных сетевых экранов, обеспечивающих также контроль зарегистрированных
и блокировку незарегистрированных приложений, пытающихся передавать или
принимать трафик, и защищающую как от внешних, так и внутренних сетевых атак.
Ø Распределенную систему шифрования
трафика любых приложений и операционной системы, гарантирующую целостность и конфиденциальность
информации, как на внешних, так и внутренних коммуникациях, и обеспечивающую
разграничение доступа к техническим и информационным ресурсам
Ø Систему электронной цифровой
подписи, обеспечивающую достоверность и юридическую значимость документов и
совершаемых действий в соответствии с принятым Федеральным законом "Об
электронной цифровой подписи". Возможность встраивания криптографических
функций в другие приложения, в том числе в WEB-технологии, с поддержкой всей
инфраструктуры безопасного ключевого управления обеспечивает возможность в
полной мере воспользоваться криптографической подсистемой любым прикладным
системам
Ø Безопасную для локальной сети
систему организации виртуальных каналов доступа отдельных компьютеров локальной
сети к открытым ресурсам внешних сетей (включая Интернет).
Ø Систему прозрачного шифрования
информации при ее сохранении на сетевых и локальных жестких дисках, других
носителях, обеспечивающую целостность и недоступность информации для
несанкционированного использования в процессе ее хранения и обмена данными.
Ø Систему межсетевого взаимодействия,
обеспечивающую организацию связи между разными виртуальными сетями ViPNet путем
взаимного согласования между администрациями сетей допустимых меж объектных
связей и политик безопасности.
Ø Защищенные прикладные службы циркулярного
обмена сообщениями и конференций в реальном времени в корпоративной сети.
Защищенную, в том числе от вирусных атак, вызывающих несанкционированные
рассылки, Деловую почту со службами обработки файлов, службами ЭЦП,
разграничения доступа к документам, поиска и архивирования документов.
Заключение
Идея построения собственных виртуальных сетей
актуальна в том случае, когда объединять несколько локальных сетей в различных
зданиях или организациях для создания собственной сети дорого или слишком долго,
однако необходимо обеспечить защиту передаваемых между сегментами сети данных.
Ведь далеко не всегда позволительно передавать данные по общедоступным сетям в
открытом виде. Впрочем, можно защищать только связи между отдельными
компьютерами из различных сегментов, но если корпоративная политика требует
обеспечить безопасность большей части информации, то защищать каждый отдельный
канал и компьютер становится достаточно сложно. Проблема в том, что у
пользователя, как правило, нет достаточной квалификации для поддержания средств
защиты информации, а администратор не может эффективно контролировать все
компьютеры во всех сегментах организации.
Кроме того, при защите отдельных каналов
инфраструктура корпоративной сети остается прозрачной для внешнего наблюдателя.
Для решения этих и некоторых других проблем применяется архитектура VPN, при
использовании которой весь поток информации, передаваемый по общедоступным
сетям, шифруется с помощью так называемых "канальных шифраторов".
Построение VPN позволяет защитить виртуальную
корпоративную сеть так же надежно, как и собственную сеть (а иногда даже и
лучше). Данная технология сейчас бурно развивается, и в этой области уже
предлагаются достаточно надежные решения. Как правило, технология VPN
объединяется с межсетевыми экранами (firewall).
Собственно, все основные межсетевые экраны дают возможность создания на их базе
виртуальной корпоративной сети.
Список используемых источников
1. Броко
О. Высококачественный 10-разрядный аналого-цифровой преобразователь. // Электроника,
1978. − Т.51. − №8. − С. 25-34.
2. Белох
Н.В., Петраков Р.Я., Руссков В.П. Доходы, предположения и цены - проблема
сбалансированности // Изд. АН СССР. Сер. экон. - 1982. − №2. − С.
71-77.
. ГОСТ
19480-74 Микросхемы интегральные. Термины, определения и буквенные обозначения
электрических параметров.
. Рекомендации.
Единая система конструкторской документации. Правила выполнения диаграмм. Р
50-70-88.
. Пат.
2103827 RU
CI, МПК 6 Н 04 J
11/00,QН 04 Q
11/00. многоканальная система связи / В.И. Ледовский.
6. http://www.connect.ru/article.asp?id=5343
- Журнал Connect:
технология VPN.