Виртуальные частные сети

Чтобы инициировать соединение, один из узлов осуществляет попытку  передать трафик другому узлу. Вследствие этого на обоих противоположных  узлах соединения VPN инициируется VPN. Оба конечных узла определяют параметры  соединения в зависимости от политик, имеющихся на узлах. Оба сайта  будут аутентифицировать друг друга  посредством некоторого общего предопределенного  секрета либо с помощью сертификата  с открытым ключом. Некоторые организации  используют узловые VPN в качестве резервных  каналов связи для арендуемых каналов.

 

Преимущества узловых VPN.

Как и в случае с пользовательскими VPN, основным преимуществом узловой VPN является экономичность. Организация  с небольшими, удаленными друг от друга  офисами может создать виртуальную  частную сеть, соединяющую все  удаленные офисы с центральным  узлом (или даже друг с другом) со значительно меньшими затратами. Сетевая  инфраструктура также может быть применена значительно быстрее, так как в удаленных офисах могут использоваться локальные ISP для каналов ISDN или DSL.

На базе политики организации  могут быть разработаны правила, определяющие, каким образом удаленные  сайты будут подключаться к центральному сайту или друг к другу. Если узловая VPN предназначена для соединения двух организаций, то на доступ ко внутренним сетям и компьютерным системам могут налагаться строгие ограничения.

 

Проблемы, связанные с узловыми VPN.

Узловые VPN расширяют периметр безопасности организации, добавляя новые  удаленные узлы или даже удаленные  организации. Если уровень безопасности удаленного узла невелик, VPN может позволить  злоумышленнику получить доступ к центральному узлу и другим частям внутренней сети организации. Следовательно, необходимо применять строгие политики и  реализовывать функции аудита для  обеспечения безопасности организации  в целом. В случаях, когда две  организации используют узловую VPN для соединения своих сетей, очень  важную роль играют политики безопасности, установленные по обе стороны  соединения. В данной ситуации обе  организации должны определить, какие  данные могут передаваться через VPN, а какие - нет, и соответствующим  образом настроить политики на своих  межсетевых экранах.

Аутентификация узловых VPN также является важным условием для  обеспечения безопасности. При установке  соединения могут использоваться произвольные секреты, но один и тот же общий  секрет не должен использоваться для  более чем одного соединения VPN. Если предполагается использовать сертификаты  с открытыми ключами, необходимо создать процедуры для поддержки  изменения и отслеживания срока действия сертификатов.

Как и в случае с пользовательскими VPN, сервер VPN должен поддерживать дешифрование и шифрование VPN-трафика. Если уровень  трафика высок, сервер VPN может оказаться  перегруженным. В особенности это  относится к ситуации, когда межсетевой экран является VPN-сервером, и имеет  место интернет-трафик большого объема.

Наконец, необходимо обдумать вопросы, связанные с адресацией. Если узловая VPN используется внутри одной  организации, в ней необходимо наличие  одинаковой схемы адресации для  всех узлов. В данном случае адресация  не представляет какой-либо сложности. Если же VPN используется для соединения двух различных организаций, необходимо предпринять меры для предупреждения любых конфликтов, связанных с  адресацией.

Очевидно, что схемы адресации  будут конфликтовать друг с другом, и маршрутизация трафика не будет  функционировать. В данном случае каждая сторона соединения VPN должна выполнять  трансляцию сетевых адресов и  переадресовывать системы другой организации  на их собственную схему адресации.

 

Управление.

При осуществлении контроля над маршрутизацией могут понадобиться дополнительные функции по управлению. На маршрутизаторах внутренних сетей  потребуется создать маршруты к  удаленным сайтам. Эти маршруты, наряду с управлением схемой адресации, должны четко документироваться  во избежание непреднамеренного  удаления маршрутов в процессе управления маршрутизатором.

 

 

 

 

 

 

Вывод по главе 1.

Виртуальные частные сети (VPN) обеспечивают многие преимущества частных сетей за меньшую цену. Правильно построенная виртуальная  частная сеть может принести организации  большую пользу, некорректно, – вся  информация, передаваемая через VPN, может быть доступна из интернета.

Пользовательские VPN – это  сети, построенные между отдельной  пользовательской системой и узлом  или сетью организации. Пользователь подключается к интернету через телефонное подключение к локальному поставщику услуг, через канал DSL (Digital Subscriber Line – цифровая абонентская линия) или кабельный модем и инициирует VPN-соединение с узлом организации через интернет.

Узел организации запрашивает  у пользователя аутентификационные данные и, в случае успешной аутентификации, позволяет пользователю осуществить доступ к внутренней сети организации.

Узловые виртуальные частные  сети используются для подключения  к удаленным узлам без применения дорогостоящих выделенных каналов  или для соединения двух различных  организаций, между которыми необходима связь для осуществления информационного  обмена. VPN соединяет один межсетевой экран или пограничный маршрутизатор  с другим аналогичным устройством.

Для инициировки VPN осуществляется попытка передать трафик от одного узла к другому. Оба узла аутентифицируют друг друга посредством некоторого общего предопределенного секрета либо с помощью сертификата с открытым ключом.

 

 

Глава 2.

2.1 Понятие стандартных  технологий функционирования VPN

Сеть VPN состоит из четырех  ключевых компонентов:

1. Сервер VPN.
2. Алгоритмы шифрования.
3. Система аутентификации.
4. Протокол VPN.

Эти компоненты реализуют  соответствие требованиям по безопасности, производительности и способности  к взаимодействию. То, насколько  правильно реализована архитектура VPN, зависит от правильности определения  требований. Определение требований должно включать в себя следующие аспекты:

1. Количество времени, в течение которого необходимо обеспечивать защиту информации.
2. Число одновременных соединений пользователей.
3. Ожидаемые типы соединений пользователей (сотрудники, работающие из дома или находящиеся в поездке).
4. Число соединений с удаленным сервером.
5. Типы сетей VPN, которым понадобится соединение.
6. Ожидаемый объем входящего и исходящего трафика на удаленных узлах.
7. Политика безопасности, определяющая настройки безопасности.

При разработке системы также  может оказаться полезным указать  дополнительные требования, связанные  с местоположением сотрудников, находящихся в поездке (имеются  в виду узлы в других организациях или в номерах отелей), а также  типы служб, которые будут работать через VPN.

 

Сервер VPN

Сервер VPN представляет собой  компьютер, выступающий в роли конечного  узла соединения VPN. Данный сервер должен обладать характеристиками, достаточными для поддержки ожидаемой нагрузки. Большая часть производителей программного обеспечения VPN должна предоставлять  рекомендации по поводу производительности процессора и конфигурации памяти, в зависимости от числа единовременных VPN-соединений. Следует обеспечить наличие  системы с соответствующими параметрами, а также позаботиться о ее дальнейшей модернизации.

Может потребоваться создание нескольких серверов VPN, чтобы обеспечить поддержку ожидаемой нагрузки. В  данном случае ожидаемые VPN-соединения должны как можно скорее распределяться между системами.

Некоторые производители  включают в свои системы методы обхода ошибок и разрешают наличие избыточных серверов VPN. Обход ошибок может не подразумевать распределение нагрузки, поэтому соединения могут по-прежнему требовать распределения между  серверами. Это обстоятельство необходимо принимать во внимание при построении систем.

VPN-сервер должен быть  расположен в сети. Сервер может  быть межсетевым экраном или  пограничным маршрутизатором, что  упрощает размещение VPN-сервера.  В качестве альтернативы сервер  может являться и отдельной  системой. В этом случае сервер  должен быть расположен в выделенной  демилитаризованной зоне (DMZ). В идеальном  случае демилитаризованная зона VPN должна содержать только VPN-сервер  и быть отдельной от DMZ интернета,  содержащей веб-серверы и почтовые  серверы организации. Причиной  является то, что VPN-сервер разрешает  доступ ко внутренним системам  авторизованным пользователям и,  следовательно, должен рассматриваться  как объект с большей степенью  доверия, нежели почтовые и  веб-серверы, доступ к которым  может быть осуществлен лицами, не пользующимися доверием. Демилитаризованная зона VPN защищается набором правил межсетевого экрана и разрешает передачу только того трафика, который требует VPN.

(ДМЗ (демилитаризованная зона, DMZ) — технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети, находятся в особом сегменте сети (который и называется ДМЗ) и ограничены в доступе к основным сегментам сети с помощью межсетевого экрана (файрвола), с целью минимизировать ущерб при взломе одного из общедоступных сервисов, находящихся в зоне.)

 

Алгоритмы шифрования.

Алгоритм шифрования, используемый в VPN, должен быть стандартным мощным алгоритмом шифрования. Все стандартные и мощные алгоритмы могут эффективно использоваться при построении VPN. Различные производители отдают предпочтение различным алгоритмам, в зависимости от ограничений реализации продукта, аспектов, связанных с лицензированием, и предпочтений по программированию. Приобретая программный пакет VPN, следует выслушать комментарии специалистов и убедиться в том, что производитель использует мощный алгоритм шифрования.

Выбор алгоритма не имеет принципиального значения, если он будет стандартным и в достаточной степени мощным. Гораздо больше влияет на общий уровень безопасности реализация системы. Неправильно реализованная система может сделать бесполезным самый мощный алгоритм шифрования. Для того чтобы получить доступ к информации, передаваемой через VPN, злоумышленник должен:

1. Захватить весь сеанс соединения, т. е. разместить устройство прослушивания между противоположными концами соединения в том месте, через которое должен передаваться весь трафик VPN;
2. Использовать большие вычислительные мощности и большое количество времени для перехвата ключа с помощью грубой силы и для дешифрования трафика.

Злоумышленнику гораздо  проще использовать имеющуюся уязвимость на компьютере пользователя либо украсть  портативный компьютер, например, в аэропорту. Если информация не представляет собой особой важности, в VPN можно использовать любой широко распространенный, мощный алгоритм шифрования.

 

Система аутентификации.

Третьим компонентом архитектуры VPN является система аутентификации. Как уже говорилось ранее, система  аутентификации VPN должна быть двухфакторной. Пользователи могут проходить аутентификацию с использованием того, что они  знают, того, что у них есть или  с помощью данных о том, кем  они являются. При использовании  пользовательских VPN отдается предпочтение первым двум вариантам.

Хорошей комбинацией средств  аутентификации являются смарт-карты  в паре с персональным идентификационным  номером или паролем. Производители  программного обеспечения, как правило, предоставляют организациям на выбор  несколько систем аутентификации. В  данном перечне присутствуют ведущие  производители смарт-карт.

Использование смарт-карт повлечет за собой увеличение стоимости использования VPN для каждого пользователя. Несмотря на то, что это обстоятельство повысит  стоимость использования соединения, обеспечение более высокого уровня защиты этого стоит.

Протокол VPN.

Протокол VPN определяет, каким  образом система VPN взаимодействует  с другими системами в интернете, а также уровень защищенности трафика. Если рассматриваемая организация  использует VPN только для внутреннего  информационного обмена, вопрос о  взаимодействии можно оставить без  внимания. Однако если организация  использует VPN для соединения с другими  организациями, собственные протоколы  использовать не удастся. Внешние окружающие факторы могут оказывать большее влияние на безопасность системы, чем алгоритм шифрования. Протокол VPN оказывает влияние на общий уровень безопасности системы. Причиной этому является тот факт, что протокол VPN используется для обмена ключами шифрования между двумя конечными узлами. Если этот обмен не защищен, злоумышленник может перехватить ключи и затем расшифровать трафик, сведя на нет все преимущества VPN.

При соединении рекомендуется  использовать стандартные протоколы. В настоящее время стандартным  протоколом для VPN является IPSec. Этот протокол представляет собой дополнение к IP, осуществляющее инкапсуляцию и шифрование заголовка TCP и полезной информации, содержащейся в пакете. IPSec также поддерживает обмен ключами, удаленную аутентификацию сайтов и согласование алгоритмов (как алгоритма шифрования, так и хэш-функции). IPSec использует UDP-порт 500 для начального согласования, после чего используется IP-протокол 50 для всего трафика. Для правильного функционирования VPN эти протоколы должны быть разрешены.