ВИРТУАЛЬНЫЕ ЧАСТНЫЕ СЕТИ (VPN)

В том случае, когда организации необходимо обеспечить конфиденциальную связь между своими территориально разделенными подразделениями, наиболее предпочтительным является построение частных сетей. Данные сети состоят из каналов связи, которые либо проведены организацией самостоятельно, либо арендованы у поставщиков Интернет-услуг (телефонии). Эти каналы связи характеризуются тем, что соединяют только объекты организации, отделяя поток информации от посторонних лиц и организаций.

Однако частные сети обладают существенными недостатками: далеко не всегда существует физическая возможность прокладки или аренды линий связи, а при ее наличии - стоимость реализации достаточно велика. Кроме того, существуют серьезные проблемы при расширении сети и подключении мобильных пользователей в непредусмотренной точке.

С целью обхода данного ограничения применяют технологию, получившую название виртуальные частные сети (Virtual Private Network, VPN) - обобщенное название технологий, позволяющих обеспечить логическое сетевое подключение поверх другой физической сети.

Данные между VPN-клиентом и VPN-сервером передаются с помощью потока шифрованного трафика, называемого VPN- туннелем. В качестве VPN-клиента и VPN-сервера могут быть использованы прикладное ПО, шлюзы и маршрутизаторы, которые выполняют шифрование трафика при передаче в туннель и расшифровку при выходе из туннеля. В самом VPN-туннеле данные представлены в виде потока пакетов специального формата с зашифрованным содержанием (рис. 17).

Принципиальная схема организации VPN

Рис. 17. Принципиальная схема организации VPN

Протоколы организации VPN. Организация VPN-сетей производится с помощью протоколов РРТР, L2TP и IPSec.

Протокол РРТР (Point-to-Point Tunneling Protocol) интегрирован в пакет ПО Windows в качестве одного из стандартных средств удаленного доступа. Упаковка данных в единый компонент в протоколе РРТР происходит путем добавления туннельного заголовка GRE и заголовка IP к данным, обработанным протоколом РРР. Стандартным методом шифрования является МРРЕ (Microsoft Point-to-Point Encryption).

IPSec (IP Security Protocol) - это современный набор протоколов, обеспечивающих создание VPN-соединения, аутентификацию, доступ и контроль. IPSec позволяет создавать кодированные туннели VPN или кодировать трафик между двумя узлами. В состав службы IPSec входят протоколы: АН (Autentication Header) - аутентификация источника и проверка целостности сообщений, ESP (Encapsulating Security Payload) - шифрование сообщений, SA (Security Association) - обеспечение работы АН/ ESP и управление ключами. Для шифрования данных в системе IPSec может быть применен любой симметричный алгоритм шифрования.

L2TP (Layer Two Tunneling Protocol) - протокол, появившийся при объединении РРТР (Microsoft) и протокола второго уровня L2F (Cisco). Предоставляет более защищенное соединение, чем РРТР. Шифрование выполняется средствами протокола IPSec. L2TP интегрирован в клиент удаленного доступа Windows ХР/7 и является протоколом по умолчанию при создании VPN- соединений. Аналогично РРТР, при формировании пакета инкапсуляция данных происходит путем добавления заголовков L2TP и IPSec к данным, обработанным протоколом РРР. Для шифрования данных используются алгоритмы DES (Data Encryption Standard) или 3DES.

При организации любых VPN-соединений выполняются следующие действия:

  • 1. Туннелирование (Tunneling) - прикрепление дополнительного заголовка и инкапсуляция исходных пакетов с локальной адресацией в IP-пакет, пригодный для передачи через чужую сеть в соответствии с ее правилами.
  • 2. Проверка подлинности.
  • 3. Шифрование данных внутри созданного туннеля.

VPN-сеть может быть построена по структуре «точка-точка» для соединения двух сегментов и по структуре «звезда» для создания соединения с произвольным количеством узлов.

Есть два способа организации VPN-сетей. Первый - Customer Provided VPN, когда организация соединения выполняется пользователем с помощью специального ПО. Такая сеть имеет высокую стоимость из-за необходимости наличия технических и программных средств, но есть возможность обеспечить наилучшую защиту информации. Второй - Provider Provisioned VPN, организация соединения с помощью провайдера телекоммуникационных услуг на основе существующих сетей, однако в такой сети есть ограничения на объемы передаваемых данных.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >