Задача создания компьютерной сети предприятия в пределах одного здания может быть решена относительно легко, потому что обычно компании являются владельцами или арендаторами зданий и оборудования. Однако современная инфраструктура корпораций включает в себя географически распределенные подразделения самой корпорации, ее партнеров, клиентов и поставщиков. Создание защищенной корпоративной сети, включающей офисы, которые разнесены на много километров и расположены в разных городах или странах, — существенно
Для эффективного противодействия сетевым атакам и обеспечения возможности активного и безопасного использования в бизнесе открытых сетей в начале 1990-х годов родилась и активно развивается концепция построения виртуальных частных сетей — VPN (Virtual Private Network).
В основе концепции построения виртуальных частных сетей VPN лежит достаточно простая идея: если в глобальной сети имеются два узла, которым нужно обменяться информацией, то между этими двумя узлами нужно построить виртуальный защищенный туннель для обеспечения конфиденциальности и целостности информации, передаваемой через открытые сети; доступ к этому туннелю должен быть чрезвычайно затруднен всем возможным активным и пассивным внешним наблюдателям [1, 18].
Преимущества, получаемые компанией от создания таких виртуальных туннелей, заключается прежде всего в значительной экономии финансовых средств, поскольку в этом случае компания может отказаться от построения или аренды дорогих выделенных каналов связи и использовать дешевые Интернет-каналы.
Сети VPN решают задачи подключения корпоративного пользователя к удаленной сети и соединения нескольких локальных сетей (см. рисунок 24).
Цель VPN-технологий состоит в максимальной степени обособления потоков данных одного предприятия от потоков данных всех других пользователей публичной сети. Обособленность должна быть обеспечена в отношении параметров пропускной способности потоков и в конфиденциальности передаваемых данных.
Таким образом, основными задачами технологий VPNявляются:
— обеспечение в публичной сети гарантированного качества обслуживания для потоков пользовательских данных;
— защита их от возможного НСД или разрушения.
Защищенность от потоков данных других предприятий трактуется по-разному. Обычно ее понимают в двух отношениях:
— в отношении параметров пропускной способности и
— в отношении конфиденциальности данных.
VPN состоит из каналов глобальной сети, защищенных протоколов и маршрутизаторов. Для объединения удаленных локальных сетей в VPN используются так называемые виртуальные выделенные каналы. Для организации подобных соединений применяется механизм туннелирования или инкапсуляции.
Рисунок 24 – Пример VPN
При туннелировании пакет протокола более низкого уровня помешается в поле данных пакета протокола более высокого же уровня.
Туннель создается двумя пограничными устройствами, которые размещаются в точках входа в публичную сеть. Инициатор туннеля инкапсулирует пакеты локальной сети в IP-пакеты, содержащие в заголовке адреса инициатора и терминатора туннеля. Терминатор туннеля извлекает исходный пакет. Конфиденциальность передаваемой корпоративной информации достигается шифрованием (алгоритм одинаков на обоих концах туннеля).
Особенностью туннелирования является то, что эта технология позволяет зашифровать исходный пакет целиком, вместе с заголовком, а не только его поле данных. При этом для внешних пакетов используются адреса пограничных маршрутизаторов, установленных в этих двух точках, а внутренние адреса конечных узлов содержатся во внутренних пакетах в защищенном виде (см. рисунок 25).
Механизм туннелирования можно представить как результат работы протоколов трех типов:
— протокола-пассажира;
— несущего протокола;
— протокола туннелирования.
Транспортный протокол объединяемых сетей (например, протокол IPX, переносящий данные в ЛВС филиалов одного предприятия) является протоколом-пассажиром, а протокол транзитной сети (например, протокол IP сети Internet) — несущим протоколом.
НА ЧТО СПОСОБНЫ VPN — О ЧЕМ ТЫ НЕ ПОДОЗРЕВАЛ и ОПАСНОСТИ БЕСПЛАТНЫХ VPN
