» » Введение в Виртуальные сети VPN

Лаборатория Сетей Cisco
 
 
 

Введение в Виртуальные сети VPN

Автор: HunSolo от 3-07-2013, 20:41, посмотрело: 4269

0 Для обеспечения безопасного сетевого соединения с распределенными подразделениями компании организуется виртуальная частная сеть (Virtual Private Networks, VPN), которая использует набор технологий, гарантирующих секретность, защиту и целостность данных, передаваемых по сети общего пользования. Слово «частный» в данном контексте означает, что передача данных между удаленными пользователями корпоративной сети компании осуществляется в зашифрованном виде, что позволяет говорить о создании безопасного канала связи — «туннеля». В качестве среды транспортировки шифрованных данных используется Интернет. Данная статья - это обзор Виртуальных сетей на базе IPSec и SSL

Введение в Виртуальные сети VPN

Корпоративная сеть компании может быть реализована различными способами: на базе выделенных каналов связи между локальными сетями подразделений компании, на базе применения Интернета как среды транспортировки данных, на базе беспроводных соединений и другими способами. Выбор способа, как правило, зависит от размеров компании и соответственно от суммы капиталовложений в развитие сетевых решений. На практике использование выделенных каналов связи требует больших денежных затрат.
Для обеспечения безопасного сетевого соединения с распределенными подразделениями компании организуется виртуальная частная сеть (Virtual Private Networks, VPN), которая использует набор технологий, гарантирующих секретность, защиту и целостность данных, передаваемых по сети общего пользования. Слово «частный» в данном контексте означает, что передача данных между удаленными пользователями корпоративной сети компании осуществляется в зашифрованном виде, что позволяет говорить о создании безопасного канала связи — «туннеля». В качестве среды транспортировки шифрованных данных используется Интернет.
Данное решение является оптимальным в плане финансовых затрат и позволяет обеспечить наиболее гибкий способ доступа удаленных пользователей к ресурсам корпоративной сети. Перед администраторами удаленного доступа и систем VPN стоит сложная задача — подготовить и развернуть такое решение, которое даст возможность одновременно удовлетворять потребностям различных пользователей корпоративной сети предприятия. В настоящее время на рынке средств организации виртуальных частных сетей имеется множество готовых решений и технологий, частично дублирующих друг друга по выполняемым функциям. В то время как большая часть текущих решений удаленного доступа использует виртуальные частные сети с применением протокола IPSec (Internet Protocol Security), на рынке увеличивается число продавцов, предлагающих технологию удаленного доступа к ресурсам корпоративной сети, основанную на протоколе SSL (Secure Socket Layer) для шифрования данных. Они обращают внимание пользователей прежде всего на интуитивную понятность ее использования и простоту установки. В данной статье представлены результаты анализа преимуществ и недостатков применения виртуальных частных сетей на базе обоих протоколов для решения задачи предоставления оптимального со всех точек зрения решения удаленного доступа к внутренним ресурсам корпоративной сети.

Для построения универсальной системы удаленного доступа пользователей к корпоративной сети компании невозможно рекомендовать какую-то одну технологию построения виртуальной частной сети — на базе протокола IPSec либо SSL. Выбор той или иной технологии зависит от конкретной ситуации. Комплексная система защиты предполагает совместное использование различных технологий построения виртуальной частной сети, связанных в единое целое, для обеспечения удобного, гибкого и прозрачного доступа удаленных пользователей к ресурсам корпоративной сети. Создание комплексной системы защиты данных корпоративной сети фактически основано на применении существующих технологий с учетом их дальнейшего развития.

Виртуальные сети на базе IPSec

Что представляет собой VPN-клиент? Как правило, для построения VPN используется протокол IPSec, состоящий из набора правил, разработанных для определения методов идентификации при инициализации виртуального туннеля, а также для обеспечения безопасного обмена пакетами данных по Глобальным сетям (Интернет). Пакеты данных шифруются с помощью алгоритмов DES, AES и др. Поскольку VPN-клиенты функционируют на уровне IP, то достигается наибольшая гибкость в конфигурировании сетевых установок и приложений. Таким образом, VPN-клиенты предоставляют удаленному пользователю те же возможности, какими он располагает, когда находится в офисе.

Использование данного подхода предполагает установку VPN-клиента на удаленном персональном компьютере (ноутбуке) пользователя и обеспечивает доступ пользователя к ресурсам и службам корпоративной сети в соответствии с полномочиями, принятыми для данного пользователя внутри этой сети. Удаленный пользователь может работать так же, как если бы он находился в данный момент на своем рабочем месте в корпоративной сети. При этом удаленный пользователь может:
запускать без каких-либо ограничений Windows-приложения и клиентов электронной почты, что позволяет пользователю на удаленном компьютере получать полную функциональность Windows-приложений корпоративной сети;
  • иметь прозрачный доступ к файлам и сетевым ресурсам корпоративной сети. В соответствии с установленным сценарием VPN-клиента удаленный пользователь получает права доступа к необходимым ресурсам корпоративной сети, при этом ему предоставляется возможность напрямую подключать к удаленному компьютеру сетевые диски, что позволяет запускать на удаленном компьютере приложения, ориентированные на работу с сетевыми ресурсами корпоративной сети. Дополнительно пользователю предоставляется прозрачный доступ к интранет-сайтам корпоративной сети;
  • полностью использовать вычислительные мощности удаленного компьютера. Современные персональные компьютеры обладают довольно высокой производительностью. Программное обеспечение VPN-клиентов позволяет интегрировать распределенные вычислительные ресурсы корпоративной сети с применением таких технологий, как Microsoft .NET или J2EE;
  • подключаться к корпоративной сети в любой момент и при этом иметь возможность работать автономно (возможны ситуации, когда удаленный пользователь не подключен к корпоративной сети, например в самолете или в месте, не позволяющем подключиться к Интернету). Это существенное преимущество как перед терминальными службами, так и перед SSL-браузерами, которые полностью зависят от соединения с корпоративной сетью;
  • пользоваться поддержкой VoIP (Voice over IP) — технологии передачи голоса через сети, использующие протокол IP, в режиме реального времени. Основной принцип передачи голоса по IP-сетям заключается в том, что шлюз IP-телефонии на передающем конце осуществляет преобразование аналогового телефонного сигнала в цифровой вид (если сигнал на выходе с телефонного аппарата представлен в цифровом виде, дальнейшее преобразование не производится), разбивает цифровой поток на пакеты и отправляет их в IP-сеть. На приемном конце производятся обратные действия. Средства VPN-клиентов обеспечивают прием-передачу голоса без потери качества;
  • осуществлять низкоуровневый доступ к персональному компьютеру удаленного пользователя, например к драйверам устройств и т.п. (эта возможность бывает нужна техническому персоналу или разработчикам).

Виртуальные частные сети довольно быстро стали технологией, обеспечивающей безопасную передачу данных через Интернет. Однако построение виртуальной частной сети предприятия на базе VPN-клиентов требует от компаний значительных затрат, прежде всего по следующим причинам:

  • настройка VPN — большинство реализаций VPN-клиентов сложны в настройке и управлении, содержат большое количество ключевых параметров, алгоритмов шифрования и требуют ручной установки;

  • безопасность — средства VPN-клиентов обеспечивают гарантированный уровень надежности передаваемых по каналам Интернета шифрованных данных. В то же время VPN-клиенты представляют собой серьезную проблему для информационной безопасности корпоративной сети, так как, являясь составной частью корпоративной сети компании, удаленный компьютер может быть подвержен заражению вирусом, троянским конем и т.п. Следовательно, на персональном компьютере удаленного пользователя должны быть установлены соответствующее антивирусное программное обеспечение, межсетевой экран, а также дополнительные средства обеспечения безопасности, позволяющие быть уверенным в том, что удаленный компьютер не представляет собой угрозу безопасности корпоративной сети компании. Большинство продуктов по обеспечению удаленного доступа не имеют встроенных либо централизованно управляемых средств контроля безопасности удаленного компьютера;
  • стоимость аппаратного и программного обеспечения — она может существенно ограничить уровень безопасности информации компании;
  • маршрутизация — для обеспечения прозрачного доступа к ресурсам корпоративной сети удаленный пользователь должен вручную настроить маршрутизацию, DNS и proxy, что может, в случае ошибки, привести к определенным трудностям;
  • установка программного обеспечения — для того чтобы полностью использовать вычислительные ресурсы, на персональном компьютере удаленного пользователя должно быть установлено соответствующее программное обеспечение с правильными настройками. Большинство систем удаленного доступа не содержат соответствующие средства контроля;
  • настройка параметров программ — если компания разрешает удаленному пользователю использовать для работы свой домашний компьютер, то требуемые прикладные программы и сетевые ресурсы должны быть настроены соответствующим образом. Например, когда удаленный пользователь регистрируется в виртуальной частной сети, то должны быть автоматически подключены сетевые диски корпоративной сети, почтовый адрес клиента должен быть автоматически зарегистрирован на почтовом сервере корпоративной сети, браузер пользователя может быть настроен на домашнюю страницу корпоративной сети и т.п. Другими словами, рабочая среда удаленного пользователя должна незаметно настраиваться во время сессии удаленного доступа, не требуя от пользователя знания таких технических аспектов, как сетевые адреса или имена серверов;
  • поддержка — учитывая многообразие причин появления сбоев в работе как аппаратуры, так и программного обеспечения, компания должна либо обладать собственным высококвалифицированным обслуживающим персоналом, либо устанавливать реализации VPN-решений с учетом финансовых затрат на обслуживание сторонними организациями.




Назад Вперед

Категория: Безопасность и VPN

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Вопрос:
Не огонь, А жжется
Ответ:*
Введите два слова, показанных на изображении: *