VPN

Нині технології побудови віртуальних захищених приватних мереж (VPN) привертають все більше уваги з боку великих компаній (банків, відомств, великих державних структур і т. д.). Причина такого інтересу полягає в тому, що VPN- технології дійсно дають
можливість не лише істотно скоротити витрати на утримування виділених каналів зв'язку з видаленими підрозділами (філіями), але і підвищити конфіденційність обміну інформацією.
Класифікація мереж VPN
Завдяки технології VPN багато компаній починають будувати свою стратегію з урахуванням використання Інтернету як головного засобу передачі інформації, причому навіть тій, яка є уразливою або життєво важливою.

Існують різні ознаки класифікації VPN. Найчастіше використовуються:
- "робочий" рівень моделі OSI;
- архітектура технічного рішення VPN;
- спосіб технічної реалізації VPN.

Класифікація VPN по "робочому" рівню моделі OSI представляє значний інтерес, оскільки від вибраного рівня OSI багато в чому залежить функціональність VPN.
За ознакою "робочого" рівня моделі OSI розрізняють наступні групи VPN :
- VPN канального рівня;
- VPN мережевого рівня;
- VPN сеансового рівня.

VPN канального рівня. Засоби VPN, використовувані на канальному рівні моделі OSI, дозволяють забезпечити інкапсуляцію різних видів трафіку третього рівня (і вище) і побудову віртуальних тунелів типу "точка-точка" (від маршрутизатора до маршрутизатора або від персонального комп'ютера до шлюзу ЛВС). До цієї групи відносяться VPN- продукти, які використовують протоколи L2F (Layer 2 Forwarding) і РРТР (Point - to - PointTunneling Protocol), а також стандарт L2TP (Layer 2 Tunneling Protocol), розроблений спільно фірмами Cisco Systems і Microsoft.

VPN мережевого рівня. VPN- продукти мережевого рівня виконують інкапсуляцію IP в IP. Одним з широко відомих протоколів на цьому рівні є протокол IPSec (IP Security), призначеним для аутентифікації, туннелирования і шифрування IP- пакетів. Стандартизований консорціумом InternetEngineering Task Force (IETF) протокол IPSec увібрав в себе усі кращі рішення по шифруванню пакетів і повинен увійти в якості обов'язкового компонента в протокол IPv6.
З протоколом IPSec пов'язаний протокол IKE (Internet Key Exchange), вирішальний завдання безпечного управління і обміну криптографічними ключами між видаленими пристроями. Протокол IKE автоматизує обмін ключами і встановлює захищене з'єднання, тоді як IPSec кодує і "підписує" пакети. Крім того, IKE дозволяє змінювати ключ для вже встановленого з'єднання, що підвищує конфіденційність переданої інформації.

VPN сеансового рівня. Деякі VPN використовують інший підхід під назвою "посередники каналів" (circuit proxy). Цей метод функціонує над транспортним рівнем і ретранслює трафік із захищеної мережі в загальнодоступну мережу Internet для кожного сокета окремо. (Сокет IP ідентифікується комбінацією TCP- з'єднання і конкретного порту або заданим портом UDP. Стек TCP/IP не має п'ятого - сеансового - рівня, проте орієнтовані на сокети операції часто називають операціями сеансового рівня.)

Класифікація VPN за архітектурою технічного рішення
По архітектурі технічного рішення прийнято виділяти три основні види віртуальних приватних мереж :
- внутрішньокорпоративні VPN (Intranet VPN);
- VPN з видаленим доступом (Remote Access VPN);
- міжкорпоративні VPN (Extranet VPN).

Внутрішньокорпоративні мережі VPN призначені для забезпечення захищеної взаємодії між підрозділами усередині підприємства або між групою підприємств, об'єднаних корпоративними мережами зв'язку, включаючи виділені лінії.

VPN з видаленим доступом призначені для забезпечення захищеного видаленого доступу до корпоративних інформаційних ресурсів мобільним і/або видаленим (home - office) співробітникам компанії.

Міжкорпоративні мережі VPN призначені для забезпечення захищеного обміну інформацією із стратегічними партнерами по бізнесу, постачальниками, великими замовниками, користувачами, клієнтами і т. д. Extranet VPN забезпечує прямий доступ з мережі однієї компанії до мережі іншої компанії і тим самим сприяє підвищенню надійності зв'язку, підтримуваного в ході ділової співпраці.

Класифікація VPN за способом технічної реалізації
Конфігурація і характеристики віртуальної приватної мережі багато в чому визначаються типом вживаних VPN- пристроїв.
За способом технічної реалізації розрізняють VPN на основі:
- маршрутизаторів;
- між мережевих екранів;
- програмних рішень;
- спеціалізованих апаратних засобів зі вбудованими шифро процесорами.

VPN на основі маршрутизаторів. Цей спосіб побудови VPN припускає застосування маршрутизаторів для створення захищених каналів. Оскільки уся інформація, що виходить з локальної мережі, проходить через маршрутизатор, то цілком природно покласти на нього і завдання шифрування. Приклад устаткування для VPN на маршрутизаторах - облаштування компанії Cisco Systems.

VPN на основі міжмережевих екранів. МЭ більшості виробників підтримують функції туннелирования і шифрування даних, наприклад продукт Fire Wall - 1 компанії Check Point Software Technologies. При використанні МЭ на базі ПК треба пам'ятати, що подібне рішення підходить тільки для невеликих мереж з невеликим об'ємом переданої інформації. Недоліками цього методу є висока вартість рішення в перерахунку на одно робоче місце і залежність продуктивності від апаратного забезпечення, на якому працює МЭ.
VPN на основі програмного забезпечення. VPN- продукти, реалізовані програмним способом, з точки зору продуктивності поступаються спеціалізованим пристроям, проте мають достатню потужність для реалізації VPN- мереж. Слід зазначити, що у разі видаленого доступу вимоги до необхідної смуги пропускання невеликі. Тому чисто програмні продукти легко забезпечують продуктивність, достатню для видаленого доступу. Безперечною гідністю програмних продуктів є гнучкість і зручність в застосуванні, а також відносно невисока вартість.
VPN на основі спеціалізованих апаратних засобів. Головна перевага таких VPN - висока продуктивність, оскільки швидкодія обумовлена тим, що шифрування в них здійснюється спеціалізованими мікросхемами. Спеціалізовані VPN- пристрої забезпечують високий рівень безпеки, проте вони дорогі.

Основні варіанти архітектури VPN
Прийнято виділяти три основні види віртуальних приватних мереж : VPN з видаленим доступом (Remote Access VPN), внутрішньокорпоративні VPN (Intranet VPN) і міжкорпоративні VPN (Extranet VPN).
VPN з видаленим доступом (мал. 10.6) дозволяють значно скоротити щомісячні витрати на використання комутованих і виділених ліній. Принцип їх роботи простий: користувачі встановлюють з'єднання з місцевою точкою доступу до глобальної мережі, після чого їх виклики тунелюють через Інтернет, що позбавляє від плати за міжміський і міжнародний зв'язок або виставляння рахунків власникам безкоштовних міжміських номерів; потім усі виклики концентруються на відповідних вузлах і передаються в корпоративні мережі.
[ Cкачайте файл, чтобы посмотреть картинку ]
Рис. 10.6. Виртуальная частная сеть с удаленным доступом
Внутрішньокорпоративні мережі VPN (мал. 10.7) будуються з використанням Internet або мережевих інфраструктур, що розділяються, сервіс-провайдерами, що надаються. Компанії досить відмовитися від використання дорогих виділених ліній, замінивши їх дешевшим зв'язком через Internet. Це істотно скорочує витрати на використання смуги пропускання, оскільки в Internet відстань ніяк не впливає на вартість з'єднання.

[ Cкачайте файл, чтобы посмотреть картинку ]

Рис. 10.7. Соединение узлов сети с помощью технологии Intranet VPN
Достоїнства Intranet VPN :
- застосування потужних криптографічних протоколів шифрування даних для захисту конфіденційної інформації;
- надійність функціонування при виконанні таких критичних застосувань, як системи автоматизованого продажу і системи управління базами даних;
- гнучкість управління ефективним розміщенням швидко зростаючого числа нових користувачів, нових офісів і нових програмних застосувань.

Міжкорпоративна мережа VPN (мал. 10.8) - це мережева технологія, яка забезпечує прямий доступ з мережі однієї компанії до мережі іншої компанії і, таким чином, сприяє підвищенню надійності зв'язку, підтримуваного в ході ділової співпраці.

[ Cкачайте файл, чтобы посмотреть картинку ]

Мережі Extranet VPN в цілому схожі на внутрішньокорпоративні віртуальні приватні мережі з тією лише різницею, що проблема захисту інформації є для них гострішою. Для Extranet VPN характерне використання стандартизованих VPN- продуктів, що арантують здатність до взаємодії з різними VPN-рішеннями, які ділові партнери могли б застосовувати у своїх мережах.
Рис. 10.7. Соединение узлов сети с помощью технологии Intranet VPN15

Приложенные файлы

  • doc 11073990
    Размер файла: 101 kB Загрузок: 1

Добавить комментарий