Виртуальная частная сеть. VPN-клиенты и их настройка. Vpn: что это такое в телефоне
Геннадий Махметов
Многие читали или слышали название «виртуальные частные сети» (VPN). Но многие либо не знают, что «это» такое, либо думают, что «это» - не для них, потому что «это» стоит очень дорого. На самом деле простейшую виртуальную частную сеть достаточно легко может создать даже небольшая фирма. При этом безопасность будет поднята на недостижимый другими средствами уровень. Такую возможность предоставляет наличие высококачественных свободно распространяемых продуктов. Для фирм, которые могут потратить деньги на обеспечение безопасности и для которых безопасность является настолько важной, чтобы потратить на нее деньги, на рынке сейчас предлагается большое количество продуктов. Для того чтобы понять, что может принести установка VPN, желательно иметь представление о том, что же такое VPN.
Как и за всяким «умным» названием, за названием «виртуальные частные сети» стоит совсем простая идея. Представим себе предприятие, имеющее несколько территориально отдаленных филиалов, складов, офисов, цехов. Сейчас подавляющее большинство организаций использует компьютерные сети для ведения учета и управления. Рано или поздно у них возникает необходимость объединить разрозненные филиалы в единую сеть. Сделать это достаточно просто: вы берете телефонные линии, ставите модемы в каждом филиале, и по мере необходимости связь организуется. Существует программное обеспечение, которое позволяет производить соединение автоматически по мере необходимости. Не всем организациям, однако, достаточно такой связи - некоторым нужна постоянная связь, некоторым - большая пропускная способность. И это не проблема - вы прокладываете кабель между филиалами и используете их для передачи информации (рис. 1).
Собственные каналы связи между подразделениями организации обеспечивают наилучший эффект - наибольшую пропускную способность, постоянное соединение. Чего же лучше? К сожалению, не многие фирмы могут позволить себе иметь связь по собственным каналам, особенно если подразделения фирмы территориально расположены далеко (например, офис находится в Москве, а производственные объекты раскиданы по всей Сибири). Более дешевой альтернативой выделенных каналов является подключение всех филиалов фирмы через Интернет (рис. 2). В этом случае решаются многие проблемы - филиалы могут располагаться где угодно по всему миру; те офисы, которые нуждаются в выделенных каналах, могут иметь их, остальные могут иметь выход в Интернет, используя телефонную связь. Появление IP-телефонии, дающей возможность телефонных разговоров через Интернет, делает такое решение еще более привлекательным.
Все было бы хорошо, но подключение к Интернету имеет и свои негативные последствия. Во-первых, вы открываете свою сеть возможным атакам со стороны различных взломщиков со всего мира - ведь Интернет - Всемирная сеть. Во-вторых, по Интернету все данные предаются в открытом виде, и, приложив достаточно усилий (не так уж и много), ваши недоброжелатели могут быть в курсе ваших дел. И, в-третьих, данные могут быть не только перехвачены, но и заменены в процессе передачи через сеть. Взломщик может нарушить целостность ваших баз данных, замаскировавшись в сети под один из ваших филиалов. Если все это представляет для вас реальную угрозу, а вам очень надо передавать свои данные через Интернет, виртуальные частные сети - это для вас.
Виртуальная частная сеть строится на основе использования криптографических протоколов.
Использование криптографии позволяет достичь нескольких целей, одновременно или по отдельности:
- Скрыть информацию, передаваемую по сети от любопытных глаз. Это наиболее известное и понятное использование криптографии - данные на одном конце преобразуются так, чтобы только тот, кому они предназначены, мог их понять и прочитать.
- Убедиться, что информация послана именно тем, кто обозначен отправителем в пакете. Обеспечить неизменность информации в процессе передачи. Действительно, что толку, если никто не знает, какая информация передается по сети, если при желании злоумышленник может подделать посылку и от имени клиента предложить банку произвести платеж или, перехватив запрос клиента, изменить сумму или адресата платежа.
- Предотвратить повторное использование информации. Действительно, представим, что некто произвел платеж, использовав мобильный компьютер. Никто не может прочитать запрос на платеж, никто не может подделать платежное поручение, но, сделав копию информации и послав ее второй и третий раз, можно заставить банк произвести платеж второй, третий раз.
Конечно, и сейчас в сетях эти проблемы решаются. Создание VPN позволяет перенести решение части этих проблем с прикладных программ на уровень сетевого взаимодействия, создать единую точку контроля или же просто дополнить уже существующие средства, существенно увеличить их эффективность.
Здесь следует заметить, что использование технологий шифрования почти во всех странах регулируется законом. Так, в США существует закон, ограничивающий экспорт компьютерных продуктов, использующих сильные алгоритмы шифрования. Не является исключением и Россия. Российские законы достаточно запутанны, и поэтому, прежде чем использовать средства криптографии, лучше всего посоветоваться с экспертом-юристом. Очевидно, что каждый может использовать криптографические схемы, которые не скрывают информацию (то есть реализуют пункты 2, 3) без получения каких-либо лицензий.
Построить виртуальную частную сеть можно огромным числом способов, одно перечисление которых заняло бы достаточно много места. Так, пользователи UNIX давно используют для этих целей комбинацию ssh и ppp. Однако по-настоящему интерес представляют, конечно, стандартные решения. В настоящее время широко известны следующие из них:
- PPTP (Point-to-Point Tunneling Protocol), разработанный совместно Microsoft, 3Com и Asced Communications. Этот протокол стал достаточно популярен благодаря его включению в операционные системы фирмы Microsoft.
- L2F (Layer-2 Forwarding) - разработка фирмы Cisco.
- L2TP (Layer-2 Tunneling Protocol) - разрабатываемый и продвигаемый официальный стандарт Интернет.
- SKIP (Simple Key-management for Internet Protocols) - разработка фирмы Sun.
- IPsec (Inernet Protocol Security) - официальный стандарт Интернет.
Первые три из перечисленных протоколов ориентированы в первую очередь на мобильных пользователей и не будут рассматриваться в этой статье.
Стандартом для Интернета является набор протоколов IPsec. Согласно стандарту все устройства, работающие с новым IP-протоколом IPv6, обязаны поддерживать IPsec.
В режиме построения VPN (режиме туннелирования) IPsec обеспечивает безопасность связи в Интернете «упаковкой» IP-пакета в новый IP-пакет с применением к нему различных преобразований - шифрации и электронных подписей (рис. 3). Дело в том, что передача данных в Интернете похожа на передачу информации на почтовых открытках без конверта - каждый заинтересованный почтовый работник может прочитать и даже добавить что-нибудь на эту открытку. Любой человек может послать открытку от имени другого человека. Упаковка IP-пакета в другой IP-пакет с применением средств криптографии похожа на упаковку открытки в конверт, его запечатывание и подписывание. Таким образом, вы можете гарантировать, что никто не читал информацию в конверте, никто не изменил информацию в нем, а подпись на конверте гарантирует личность отправителя.
В зависимости от требований к VPN используется два вида заголовков, и, соответственно, предоставляется два режима функциональности протокола. В одном случае ESP (Encapsulating Security Payload) предоставляется возможность передавать зашифрованные данные, электронно подписывать передаваемые данные и включать в заголовок специальный счетчик - число, которое увеличивается на 1 в каждом новом пакете, предотвращая повторное использование данных. Таким образом, обеспечивается секретность, неизменность предаваемых данных, невозможность их повторного использования и подтверждается личность их отправителя. Причем можно использовать все эти возможности как одновременно, так и по отдельности. Во втором случае AH (Authentication Header) позволяет включать электронную подпись всего пакета и счетчик. Таким образом, гарантируется все то, что обеспечивает ESP, кроме секретности. Но AH обеспечивает электронную подпись всего пакета, в том числе и внешнего IP-заголовка (адреса и другие надписи на конверте), в то время как ESP защищает только упакованный пакет. При необходимости эти два заголовка могут использоваться совместно, что применяется в случае, когда необходимо и обеспечить секретность данных, и гарантировать целостность всего пакета.
Для того чтобы два устройства могли обмениваться информацией с использованием шифрованных и подписанных данных, им необходимо знать ключ к шифру, который используется при передаче, а также ключ к электронным подписям. Вопрос обмена ключами вообще является одним из важнейших в любой системе, использующей криптографические методы защиты данных. Очевидно, что, как бы ни был силен протокол, если злоумышленник имеет возможность украсть или подменить ключи - все насмарку. Подобное положение можно сравнить со следующей бытовой ситуацией: кто-то поставил мощную входную дверь, но позволил кому угодно делать от нее копии ключей. Конечно, эта дверь ему не поможет. Другим требованием является достаточно частая смена ключа и ограничение на количество данных, которые могут быть переданы с использованием одного и того же ключа. Это ограничение связано с тем, что чем больше данных, зашифрованных одним ключом, и чем больше времени имеет злоумышленник, тем легче ему «сломать» шифр. Поэтому обмен ключами - одна из важнейших частей стандартов. И именно поэтому данные, которыми обмениваются устройства, шифруются так называемым ключом сессии - случайно выбранным числом, о котором стороны «договариваются» в начале обмена.
В IPsec не установлено единственного стандартного способа распределения ключей. Определено, что обязательно должны поддерживаться ручное распределение ключей и специальный протокол - IKE (Internet Key Exchange). Каждый поставщик вправе дополнить этот набор собственными протоколами обмена ключами, однако стандартные обязаны присутствовать.
Ручное распределение ключей - очень простая процедура: на дискете (или любом другом носителе) приносится информация и вносится в компьютер. Все просто. Но ключи надо менять. В некоторых ситуациях их меняют достаточно часто - например каждый час. Носить их каждый раз на дискете становится затруднительно. Можно, конечно, сгенерировать множество ключей (на целый год), разнести их один раз по всем филиалам и регулярно менять. Вообще говоря, это - не плохое решение. Возникает, правда, проблема синхронной смены ключа. Кроме того, этот метод годится только при небольшом количестве сторон, участвующих в обмене; при увеличении их количества неизбежно где-нибудь возникнет путаница. Исходя из этих соображений для распределения ключей были разработаны протоколы обмена ключами. Одним из подобных протоколов и является IKE.
IKE-протокол позволяет устройствам договориться о большинстве параметров, которые будут использованы в процессе обмена информацией, об алгоритме шифрования, о ключах. IKE достаточно сложен. Он заключается в обмене сообщениями, который должны осуществить стороны, прежде чем смогут обмениваться информацией в безопасном режиме. В ходе этой сессии стороны сначала обмениваются сообщениями, подтверждающими их личность. Определено несколько способов удостовериться, с кем мы имеем дело. Все они основаны на использовании криптографических методов. Используются электронные подписи на основе использования либо общих ключей (симметричные алгоритмы), либо секретных и публичных ключей (несимметричные алгоритмы).
При использовании симметричных алгоритмов обменивающиеся стороны знают один общий ключ. Cами по себе ключи никогда не посылаются по сети. Вместо этого ключ используется для электронной подписи случайного числа. После этого само число и подпись посылается собеседнику. Зная совместный ключ и случайное число, собеседник может вычислить электронную подпись. Если полученная подпись совпадает с присланной - значит, отправитель тот, за кого он себя выдает. Алгоритм, по которому вычисляется подпись в стандарте, жестко не зафиксирован, но определено, что должны поддерживаться как минимум MD5 и SHA. На каждую пару устройств в этом случае необходим один ключ. Например, если устройство осуществляет обмен с сотней других устройств, ему необходимо сто ключей. И опять же велика возможность путаницы при конфигурации. Конечно, в этом случае удобнее использовать электронную подпись с несимметричной криптографией.
При использовании электронной подписи каждое устройство имеет два ключа - секретный и публичный. Эти ключи рассчитываются по специальному алгоритму и взаимосвязаны. Секретный ключ известен только владельцу, публичный ключ может распространяться свободно. Существует как минимум две различные схемы с асимметричными ключами. В одном (алгоритм RSA) сообщение, зашифрованное секретным ключом, можно расшифровать, только используя соответствующий публичный ключ, и наоборот. Таким образом, если известное сообщение правильно расшифровывается публичным ключом, значит, автор сообщения - владелец этого ключа. В другом (алгоритм Diffie-Hellman) секретный ключ отправителя и публичный ключ получателя используются для вычисления так называемого взаимного ключа. Оказывается, что тот же самый взаимный ключ можно вычислить, зная секретный ключ получателя и публичный ключ отправителя. Таким образом, взаимный ключ можно вычислить, только зная одну из пар - секретный ключ отправителя и публичный ключ получателя или секретный ключ получателя и публичный ключ отправителя. А поскольку секретный ключ знает только его владелец (так должно быть!), только получатель и отправитель могут знать взаимный ключ. Руководствуясь этим фактом, получатель может быть уверен, что отправитель сообщения, зашифрованного взаимным ключом, - именно тот, за кого он себя выдает. Очевидно, в случае использования несимметричных алгоритмов шифрования каждому устройству необходима только пара ключей - независимо от числа собеседников. В стандарте и для этого случая также отсутствует жесткая фиксация конкретного алгоритма. Определено только, что реализация обязательно должна поддерживать алгоритм Diffie-Hellman.
Все эти методы требуют наличия предварительного знания некоторого ключа, который и используется для подтверждения личности. Но поскольку этим ключом шифруют очень мало информации, его можно менять намного реже (период действия ключа может составлять месяцы и даже годы). Предварительный обмен подтверждениями личности предотвращает возможность злоумышленнику подсунуть свой ключ и «взломать» систему.
Установив личность собеседника, устройства обмениваются предложениями по различным параметрам - алгоритмам шифрования, ключам сессии. Ключи сессии - временные и могут меняться достаточно часто. После того как договоренность достигнута, можно начинать передачу информации. Конечно, процедура обмена ключами занимает время, и, пока она не завершена, ни один пакет с данными не может быть передан между устройствами в безопасном режиме. В неблагоприятных случаях задержка, вызванная необходимостью предварительного открытия сессии, может составить несколько секунд, а в случае одновременного открытия многих сессий (например, в начале рабочего дня, после перезапуска системы) - и больше.
Несколько иначе подошли к обмену ключами разработчики протокола SKIP. SKIP (акроним от Simple Key-management for Internet Protocols - «простой протокол обмена ключами для Интернета») - разработка фирмы Sun и предназначен, как это следует из названия, для обмена ключами. Этот протокол может быть использован как совместно с IPsec вместе с другими протоколами, так и самостоятельно. Именно поэтому о нем и говорится как об отдельном протоколе.
При использовании SKIP ключ, необходимый для расшифровки сообщения (ключ сессии), содержится в самом пакете, в заголовке SKIP (рис. 4). Для того чтобы пакет мог быть расшифрован только адресатом, этот ключ, в свою очередь, зашифрован. Алгоритм и ключ шифрования выбран так, чтобы его легко можно было вычислить без предварительного обмена. Для вычисления взаимного ключа используется уже упоминавшийся алгоритм Diffie-Hellman (взаимный ключ рассчитывается из секретного ключа отправителя и публичного ключа получателя или публичного ключа отправителя и секретного ключа получателя). Но и этот ключ для шифрования непосредственно не используется. Он используется совместно с некоторым числом-счетчиком для получения другого ключа. Для этого с взаимным ключом и счетчиком производится математическая операция по алгоритму MD5, дающая новый ключ. Именно этим ключом и производится шифровка ключа сессии. Значение счетчика также передается вместе с пакетом. Таким образом, вся информация, необходимая для расшифровки данных в пакете, содержится в заголовке пакета, и не требуется никакой предварительный обмен (кроме, конечно, знания соответствующих секретного и публичного ключа). Такая трехступенчатая схема позволяет менять ключи сессии достаточно часто. Ключ сессии может быть различным в разных пакетах, передаваемых по сети, - более частой смены представить себе трудно. Кроме того, наличие равномерно возрастающего счетчика позволяет избежать повторного использования шифрованного пакета. Очевидно, что SKIP существенно проще, чем IKE, хотя и менее гибок.
Как уже говорилось, SKIP может быть использован как с IPsec, так и без него. При использовании SKIP без IPsec IP-пакет, предназначенный для передачи, шифруется и упаковывается в новый IP-пакет. Новый IP-пакет содержит заголовок SKIP, в котором, как мы уже упоминали, содержится вся информация, необходимая для расшифровки упакованного пакета (рис. 5). В случае совместного использования SKIP и IPsec пакет-конверт содержит два заголовка - IPsec-заголовок и SKIP-заголовок. В заголовке SKIP передается ключ, а в заголовке IPsec передается дополнительная информация, требуемая для правильной расшифровки и обработки упакованного пакета.
В настоящее время на рынке много продуктов для построения VPN. Часть из них способна реализовывать IPsec с IKE, часть - со SKIP, некоторые - SKIP без IPsec. Некоторые включают поддержку и того и другого.
Кроме чисто технических соображений, при выборе того или иного протокола важно и наличие на рынке продуктов, реализующих этот протокол, их качество.
Хотя SKIP - разработка фирмы Sun, многие поставщики сетевого оборудования и операционных систем включают в свои продукты поддержку SKIP. В настоящее время SKIP доступен для Solaris, Sun OS, FreeBSD и Linux. При активном участии российской фирмы Elvis+ были созданы версии для Windows NT, Windows 98. Поскольку SKIP относительно прост и продукты на его основе выпускаются уже далеко не первый год, можно смело утверждать, что это достаточно зрелый, развитый протокол. Современный компьютер Pentium под управлением Solaris вполне может удовлетворить потребности достаточно большой организации, тем более что производительность все равно будет ограничена пропускной способностью внешнего канала. А компьютеры под управлением Windows 98 вполне могут обмениваться шифрованными сообщениями внутри организации, если существует такая потребность. Некоторая негибкость протокола компенсируется его простотой, и, скорее всего, у вас не возникнет проблем несовместимости продуктов разных поставщиков.
Продукты, реализующие протоколы IPsec и IKE, появляются на рынке все чаще и чаще. Сейчас, кажется, все ведущие производители объявили о выпуске реализаций стандарта. Доступны они и для свободно распространяемых систем Linux, OpenBSD. При этом OpenBSD содержит поддержку этого стандарта в базовой конфигурации. Любой желающий может установить OpenBSD, «скачав» его с одного из многочисленных ftp-серверов.
Однако, на мой взгляд, IKE еще достаточно молод; он все еще развивается. Это может привести к некоторой несовместимости между продуктами различных поставщиков. Кроме того, сложность самого протокола влечет за собой сложность его реализации и, следовательно, может привести к появлению ошибок. Тем не менее гибкость этого протокола делает его исключительно привлекательным.
Окончательное же решение, конечно, зависит от ваших потребностей.
В заключение хочется сказать, что, если ваша компания имеет несколько подразделений, удаленных географически и вам необходимо организовать обмен информацией между ними через Интернет, или если у вас есть пользователи, использующие Интернет для удаленного доступа к вашей сети и вы хоть немного заботитесь о безопасности вашей сети вам имеет смысл подумать об установке VPN в вашей организации. Тем более что сегодня доступно огромное количество высококачественных продуктов - от свободно распространяемых до полных комплексных коммерческих решений. Напомню также, что VPN без закрытия данных (только с подтверждением личности отправителя и целостности пакета) может быть установлена без всяких лицензий.
КомпьютерПресс 2"2000
Интернет все чаще используется в качестве средства коммуникации между компьютерами, поскольку он предлагает эффективную и недорогую связь. Однако Интернет является сетью общего пользования и для того чтобы обеспечивать безопасную коммуникацию через него необходим некий механизм, удовлетворяющий как минимум следующим задачам:
конфиденциальность информации;
целостность данных;
доступность информации;
Этим требованиям удовлетворяет механизм, названный VPN (Virtual Private Network – виртуальная частная сеть) – обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет) с использованием средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).
Создание VPN не требует дополнительных инвестиций и позволяет отказаться от использования выделенных линий. В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: хост-хост, хост-сеть и сеть-сеть .
Для наглядности представим следующий пример: предприятие имеет несколько территориально отдаленных филиалов и "мобильных" сотрудников, работающих дома или в разъезде. Необходимо объединить всех сотрудников предприятия в единую сеть. Самый простой способ – это поставить модемы в каждом филиале и организовывать связь по мере необходимости. Такое решение, однако, не всегда удобно и выгодно – порой нужна постоянная связь и большая пропускная способность. Для этого придется либо прокладывать выделенную линию между филиалами, либо арендовать их. И то и другое довольно дорого. И здесь в качестве альтернативы при построении единой защищенной сети можно применять VPN-подключения всех филиалов фирмы через Интернет и настройку VPN-средств на хостах сети.
Рис. 6.4. VPN-соединение типа сеть-сеть
Рис. 6.5. VPN-соединение типа хост-сеть
В этом случае решаются многие проблемы – филиалы могут располагаться где угодно по всему миру.
Опасность здесь заключается в том, что, во-первых, открытая сеть доступна для атак со стороны злоумышленников всего мира. Во-вторых, по Интернету все данные передаются в открытом виде, и злоумышленники, взломав сеть, будут обладать всей информацией, передаваемой по сети. И, в-третьих, данные могут быть не только перехвачены, но и заменены в процессе передачи через сеть. Злоумышленник может, например, нарушить целостность баз данных, действуя от имени клиентов одного из доверенных филиалов.
Чтобы этого не произошло, в решениях VPN используются такие средства, как шифрование данных для обеспечения целостности и конфиденциальности, аутентификация и авторизация для проверки прав пользователя и разрешения доступа к виртуальной частной сети.
VPN-соединение всегда состоит из канала типа точка-точка, также известного под названием туннель. Туннель создаётся в незащищённой сети, в качестве которой чаще всего выступает Интернет.
Туннелирование (tunneling) или инкапсуляция (encapsulation) – это способ передачи полезной информации через промежуточную сеть. Такой информацией могут быть кадры (или пакеты) другого протокола. При инкапсуляции кадр не передается в том виде, в котором он был сгенерирован хостом-отправителем, а снабжается дополнительным заголовком, содержащим информацию о маршруте, позволяющую инкапсулированным пакетам проходить через промежуточную сеть (Интернет). На конце туннеля кадры деинкапсулируются и передаются получателю. Как правило, туннель создается двумя пограничными устройствами, размещенными в точках входа в публичную сеть. Одним из явных достоинств туннелирования является то, что данная технология позволяет зашифровать исходный пакет целиком, включая заголовок, в котором могут находиться данные, содержащие информацию, которую злоумышленники используют для взлома сети (например, IP-адреса, количество подсетей и т.д.).
Хотя VPN-туннель устанавливается между двумя точками, каждый узел может устанавливать дополнительные туннели с другими узлами. Для примера, когда трём удалённым станциям необходимо связаться с одним и тем же офисом, будет создано три отдельных VPN-туннеля к этому офису. Для всех туннелей узел на стороне офиса может быть одним и тем же. Это возможно благодаря тому, что узел может шифровать и расшифровывать данные от имени всей сети, как это показано на рисунке:
Рис. 6.6. Создание VPN-туннелей для нескольких удаленных точек
Пользователь устанавливает соединение с VPN-шлюзом, после чего пользователю открывается доступ к внутренней сети.
Внутри частной сети самого шифрования не происходит. Причина в том, что эта часть сети считается безопасной и находящейся под непосредственным контролем в противоположность Интернету. Это справедливо и при соединении офисов с помощью VPN-шлюзов. Таким образом, гарантируется шифрование только той информации, которая передаётся по небезопасному каналу между офисами.
Существует множество различных решений для построения виртуальных частных сетей. Наиболее известные и широко используемые протоколы – это:
PPTP (Point-to-Point Tunneling Protocol) – этот протокол стал достаточно популярен благодаря его включению в операционные системы фирмы Microsoft.
L2TP (Layer-2 Tunneling Protocol) – сочетает в себе протокол L2F (Layer 2 Forwarding) и протокол PPTP. Как правило, используется в паре с IPSec.
IPSec(Internet Protocol Security) – официальный Интернет-стандарт, разработан сообществом IETF (Internet Engineering Task Force).
Перечисленные протоколы поддерживаются устройствами D-Link.
Протокол PPTP, в первую очередь, предназначен для виртуальных частных сетей, основанных на коммутируемых соединениях. Протокол позволяет организовать удаленный доступ, благодаря чему пользователи могут устанавливать коммутируемые соединения с Интернет-провайдерами и создавать защищенный туннель к своим корпоративным сетям. В отличие от IPSec, протокол PPTP изначально не предназначался для организации туннелей между локальными сетями. PPTP расширяет возможности PPP – протокола, расположенного на канальном уровне, который первоначально был разработан для инкапсуляции данных и их доставки по соединениям типа точка-точка.
Протокол PPTP позволяет создавать защищенные каналы для обмена данными по различным протоколам – IP, IPX, NetBEUI и др. Данные этих протоколов упаковываются в кадры PPP, инкапсулируются с помощью протокола PPTP в пакеты протокола IP. Далее они переносятся с помощью IP в зашифрованном виде через любую сеть TCP/IP. Принимающий узел извлекает из пакетов IP кадры PPP, а затем обрабатывает их стандартным способом, т.е. извлекает из кадра PPP пакет IP, IPX или NetBEUI и отправляет его по локальной сети. Таким образом, протокол PPTP создает соединение точка-точка в сети и по созданному защищенному каналу передает данные. Основное преимущество таких инкапсулирующих протоколов, как PPTP – это их многопротокольность. Т.е. защита данных на канальном уровне является прозрачной для протоколов сетевого и прикладного уровней. Поэтому, внутри сети в качестве транспорта можно использовать как протокол IP (как в случае VPN, основанного на IPSec), так и любой другой протокол.
В настоящее время за счет легкости реализации протокол PPTP широко используется как для получения надежного защищенного доступа к корпоративной сети, так и для доступа к сетям Интернет-провайдеров, когда клиенту требуется установить PPTP-соединение с Интернет-провайдером для получения доступа в Интернет.
Метод шифрования, применяемый в PPTP, специфицируется на уровне PPP. Обычно в качестве клиента PPP выступает настольный компьютер с операционной системой Microsoft, а в качестве протокола шифрования используется протокол Microsoft Point-to-Point Encryption (MPPE). Данный протокол основывается на стандарте RSA RC4 и поддерживает 40- или 128-разрядное шифрование. Для многих приложений такого уровня шифрования использование данного алгоритма вполне достаточно, хотя он и считается менее надежным, нежели ряд других алгоритмов шифрования, предлагаемых IPSec, в частности, 168-разрядный Triple-Data Encryption Standard (3DES).
Как происходит установление соединения PPTP ?
PPTP инкапсулирует пакеты IP для передачи по IP-сети. Клиенты PPTP создают управляющее туннелем соединение, которое обеспечивает работоспособность канала. Этот процесс выполняется на транспортном уровне модели OSI. После создания туннеля компьютер-клиент и сервер начинают обмен служебными пакетами.
В дополнение к управляющему соединению PPTP создается соединение для пересылки данных по туннелю. Инкапсуляция данных перед отправкой в туннель включает два этапа. Сначала создается информационная часть PPP-кадра. Данные проходят сверху вниз, от прикладного уровня OSI до канального. Затем полученные данные отправляются вверх по модели OSI и инкапсулируются протоколами верхних уровней.
Данные с канального уровня достигают транспортного уровня. Однако информация не может быть отправлена по назначению, так как за это отвечает канальный уровень OSI. Поэтому PPTP шифрует поле полезной нагрузки пакета и берет на себя функции второго уровня, обычно принадлежащие PPP, т. е. добавляет к PPTP-пакету PPP-заголовок (header) и окончание (trailer). На этом создание кадра канального уровня заканчивается. Далее, PPTP инкапсулирует PPP-кадр в пакет Generic Routing Encapsulation (GRE), который принадлежит сетевому уровню. GRE инкапсулирует протоколы сетевого уровня, например IP, IPX, чтобы обеспечить возможность их передачи по IP-сетям. Однако применение только GRE-протокола не обеспечит установление сессии и безопасность данных. Для этого используется способность PPTP создавать соединение для управления туннелем. Применение GRE в качестве метода инкапсуляции ограничивает поле действия PPTP только сетями IP.
После того как кадр PPP был инкапсулирован в кадр с заголовком GRE, выполняется инкапсуляция в кадр с IP-заголовком. IP-заголовок содержит адреса отправителя и получателя пакета. В заключение PPTP добавляет PPP заголовок и окончание.
На рис. 6.7 показана структура данных для пересылки по туннелю PPTP:
Рис. 6.7. Структура данных для пересылки по туннелю PPTP
Для организации VPN на основе PPTP не требуется больших затрат и сложных настроек: достаточно установить в центральном офисе сервер PPTP (решения PPTP существуют как для Windows, так и для Linux платформ), а на клиентских компьютерах выполнить необходимые настройки. Если же нужно объединить несколько филиалов, то вместо настройки PPTP на всех клиентских станциях лучше воспользоваться Интернет-маршрутизатором или межсетевым экраном с поддержкой PPTP: настройки осуществляются только на пограничном маршрутизаторе (межсетевом экране), подключенном к Интернету, для пользователей все абсолютно прозрачно. Примером таких устройств могут служить многофункциональные Интернет-маршрутизаторы серии DIR/DSR и межсетевые экраны серии DFL.
GRE -туннели
Generic Routing Encapsulation (GRE) – протокол инкапсуляции сетевых пакетов, обеспечивающий туннелирование трафика через сети без шифрования. Примеры использования GRE:
передача трафика (в том числе широковещательного) через оборудование, не поддерживающее определенный протокол;
туннелирование IPv6-трафика через сеть IPv4;
передача данных через публичные сети для реализации защищенного VPN-соединения.
Рис.
6.8.
Пример работы
GRE-туннеля
Между двумя маршрутизаторами A и B ( рис. 6.8 ) находится несколько маршрутизаторов, GRE-туннель позволяет обеспечить соединение между локальными сетями 192.168.1.0/24 и 192.168.3.0/24 так, как если бы маршрутизаторы A и B были подключены напрямую.
L 2 TP
Протокол L2TP появился в результате объединения протоколов PPTP и L2F. Главное достоинство протокола L2TP в том, что он позволяет создавать туннель не только в сетях IP, но и в сетях ATM, X.25 и Frame relay. L2TP применяет в качестве транспорта протокол UDP и использует одинаковый формат сообщений как для управления туннелем, так и для пересылки данных.
Как и в случае с PPTP, L2TP начинает сборку пакета для передачи в туннель с того, что к полю информационных данных PPP добавляется сначала заголовок PPP, затем заголовок L2TP. Полученный таким образом пакет инкапсулируется UDP. В зависимости от выбранного типа политики безопасности IPSec, L2TP может шифровать UDP-сообщения и добавлять к ним заголовок и окончание Encapsulating Security Payload (ESP), а также окончание IPSec Authentication (см. в разделе "L2TP over IPSec"). Затем производится инкапсуляция в IP. Добавляется IP-заголовок, содержащий адреса отправителя и получателя. В завершение L2TP выполняет вторую PPP-инкапсуляцию для подготовки данных к передаче. На рис. 6.9 показана структура данных для пересылки по туннелю L2TP.
Рис. 6.9. Структура данных для пересылки по туннелю L2TP
Компьютер-получатель принимает данные, обрабатывает заголовок и окончание PPP, убирает заголовок IP. При помощи IPSec Authentication проводится аутентификация информационного поля IP, а ESP-заголовок IPSec помогает расшифровать пакет.
Далее компьютер обрабатывает заголовок UDP и использует заголовок L2TP для идентификации туннеля. Пакет PPP теперь содержит только полезные данные, которые обрабатываются или пересылаются указанному получателю.
IPsec (сокращение от IP Security) – набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет.
Безопасность IPSec достигается за счёт дополнительных протоколов, добавляющих к IP-пакету собственные заголовки – инкапсуляции. Т.к. IPSec – стандарт Интернет, то для него существуют документы RFC:
RFC 2401 (Security Architecture for the Internet Protocol) – архитектура защиты для протокола IP.
RFC 2402 (IP Authentication header) – аутентификационный заголовок IP.
RFC 2404 (The Use of HMAC-SHA-1-96 within ESP and AH) – использование алгоритма хэширования SHA-1 для создания аутентификационного заголовка.
RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) – использование алгоритма шифрования DES.
RFC 2406 (IP Encapsulating Security Payload (ESP)) – шифрование данных.
RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) – область применения протокола управления ключами.
RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) – управление ключами и аутентификаторами защищенных соединений.
RFC 2409 (The Internet Key Exchange (IKE)) – обмен ключами.
RFC 2410 (The NULL Encryption Algorithm and Its Use With IPsec) – нулевой алгоритм шифрования и его использование.
RFC 2411 (IP Security Document Roadmap) – дальнейшее развитие стандарта.
RFC 2412 (The OAKLEY Key Determination Protocol) – проверка аутентичности ключа.
IPsec является неотъемлемой частью Интернет-протокола IPv6 и необязательным расширением версии Интернет-протокола IPv4.
Механизм IPSec решает следующие задачи:
аутентификацию пользователей или компьютеров при инициализации защищенного канала;
шифрование и аутентификацию данных, передаваемых между конечными точками защищенного канала;
автоматическое снабжение конечных точек канала секретными ключами, необходимыми для работы протоколов аутентификации и шифрования данных.
Компоненты IPSec
Протокол AH (Authentication Header) – протокол идентификации заголовка. Обеспечивает целостность путём проверки того, что ни один бит в защищаемой части пакета не был изменён во время передачи. Но использование AH может вызвать проблемы, например, при прохождении пакета через NAT устройство. NAT меняет IP-адрес пакета, чтобы разрешить доступ в Интернет с закрытого локального адреса. Т.к. пакет в таком случае изменится, то контрольная сумма AH станет неверной (для устранения этой проблемы разработан протокол NAT-Traversal (NAT-T), обеспечивающий передачу ESP через UDP и использующий в своей работе порт UDP 4500). Также стоит отметить, что AH разрабатывался только для обеспечения целостности. Он не гарантирует конфиденциальности путём шифрования содержимого пакета.
Протокол ESP (Encapsulation Security Payload) обеспечивает не только целостность и аутентификацию передаваемых данных, но еще и шифрование данных, а также защиту от ложного воспроизведения пакетов.
Протокол ESP – инкапсулирующий протокол безопасности, который обеспечивает и целостность, и конфиденциальность. В режиме транспорта ESP-заголовок находится между исходным IP-заголовком и заголовком TCP или UDP. В режиме туннеля ESP-заголовок размещается между новым IP-заголовком и полностью зашифрованным исходным IP-пакетом.
Т.к. оба протокола – AH и ESP – добавляют собственные заголовки IP, каждый из них имеет свой номер (ID) протокола, по которому можно определить, что последует за IP-заголовком. Каждый протокол, согласно IANA (Internet Assigned Numbers Authority – организация, ответственная за адресное пространство сети Интернет), имеет свой собственный номер (ID). Например, для TCP этот номер равен 6, а для UDP – 17. Поэтому, очень важно при работе через межсетевой экран настроить фильтры таким образом, чтобы пропускать пакеты с ID AH и/или ESP протокола.
Для того чтобы указать, что в заголовке IP присутствует AH, устанавливается ID протокола 51, а для ESP – номер 50.
ВНИМАНИЕ : ID протокола не то же самое, что номер порта.
Протокол IKE (Internet Key Exchange) – стандартный протокол IPsec, используемый для обеспечения безопасности взаимодействия в виртуальных частных сетях. Предназначение IKE – защищенное согласование и доставка идентифицированного материала для ассоциации безопасности (SA).
SA – это термин IPSec для обозначения соединения. Установленный SA (защищенный канал, называемый "безопасной ассоциацией" или "ассоциацией безопасности" – Security Association, SA) включает в себя разделяемый секретный ключ и набор криптографических алгоритмов.
Протокол IKE выполняет три основные задачи:
обеспечивает средства аутентификации между двумя конечными точками VPN;
устанавливает новые связи IPSec (создаёт пару SA);
управляет существующими связями.
IKE использует UDP-порт с номером 500. При использовании функции NAT Traversal, как упоминалось ранее, протокол IKE использует UDP-порт с номером 4500.
Обмен данными в IKE происходит в 2 фазы. В первой фазе устанавливается ассоциация SA IKE. При этом выполняется аутентификация конечных точек канала и выбираются параметры защиты данных, такие как алгоритм шифрования, сессионный ключ и др.
Во второй фазе SA IKE используется для согласования протокола (обычно IPSec).
При настроенном VPN-туннеле для каждого используемого протокола создаётся одна пара SA. SA создаются парами, т.к. каждая SA – это однонаправленное соединение, а данные необходимо передавать в двух направлениях. Полученные пары SA хранятся на каждом узле.
Так как каждый узел способен устанавливать несколько туннелей с другими узлами, каждый SA имеет уникальный номер, позволяющий определить, к какому узлу он относится. Этот номер называется SPI (Security Parameter Index) или индекс параметра безопасности.
SA храняться в базе данных (БД) SAD (Security Association Database).
Каждый узел IPSec также имеет вторую БД – SPD (Security Policy Database) – БД политики безопасности. Она содержит настроенную политику узла. Большинство VPN-решений разрешают создание нескольких политик с комбинациями подходящих алгоритмов для каждого узла, с которым нужно установить соединение.
Гибкость IPSec состоит в том, что для каждой задачи предлагается несколько способов ее решения, и методы, выбранные для одной задачи, обычно не зависят от методов реализации других задач. Вместе с тем, рабочая группа IETF определила базовый набор поддерживаемых функций и алгоритмов, который должен быть однотипно реализован во всех продуктах, поддерживающих IPSec. Механизмы AH и ESP могут использоваться с различными схемами аутентификации и шифрования, некоторые из которых являются обязательными. Например, в IPSec определяется, что пакеты аутентифицируются либо с помощью односторонней функции MD5, либо с помощью односторонней функции SHA-1, а шифрование осуществляется с использованием алгоритма DES. Производители продуктов, в которых работает IPSec, могут добавлять другие алгоритмы аутентификации и шифрования. Например, некоторые продукты поддерживают такие алгоритмы шифрования, как 3DES, Blowfish, Cast, RC5 и др.
Для шифрования данных в IPSec может быть применен любой симметричный алгоритм шифрования, использующий секретные ключи.
Протоколы защиты передаваемого потока (AH и ESP) могут работать в двух режимах – в транспортном режиме и в режиме туннелирования . При работе в транспортном режиме IPsec работает только с информацией транспортного уровня, т.е. шифруется только поле данных пакета, содержащего протоколы TCP / UDP (заголовок IP-пакета не изменяется (не шифруется)). Транспортный режим, как правило, используется для установления соединения между хостами.
В режиме туннелирования шифруется весь IP-пакет, включая заголовок сетевого уровня. Для того чтобы его можно было передать по сети, он помещается в другой IP-пакет. По существу, это защищённый IP-туннель. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети (схема подключения "хост-сеть") или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети (схема подключения "сеть-сеть").
Режимы IPsec не являются взаимоисключающими. На одном и том же узле некоторые SA могут использовать транспортный режим, а другие – туннельный.
На фазе аутентификации вычисляется контрольная сумма ICV (Integrity Check Value) пакета. При этом предполагается, что оба узла знают секретный ключ, который позволяет получателю вычислить ICV и сравнить с результатом, присланным отправителем. Если сравнение ICV прошло успешно, считается, что отправитель пакета аутентифицирован.
В режиме транспорта AH
весь IP-пакет, за исключением некоторых полей в заголовке IP, которые могут быть изменены при передаче. Эти поля, значения которых для расчета ICV равняются 0, могут быть частью службы (Type of Service, TOS), флагами, смещением фрагмента, временем жизни (TTL), а также заголовком контрольной суммы;
все поля в AH;
полезные данные пакетов IP.
AH в режиме транспорта защищает IP-заголовок (за исключением полей, для которых разрешены изменения) и полезные данные в исходном IP-пакете (рисунок 3.39).
В туннельном режиме исходный пакет помещается в новый IP-пакет, и передача данных выполняется на основании заголовка нового IP-пакета.
Для туннельного режима AH при выполнении расчета в контрольную сумму ICV включаются следующие компоненты:
все поля внешнего заголовка IP, за исключением некоторых полей в заголовке IP, которые могут быть изменены при передаче. Эти поля, значения которых для расчета ICV равняются 0, могут быть частью службы (Type of Service, TOS), флагами, смещением фрагмента, временем жизни (TTL), а также заголовком контрольной суммы;
все поля AH;
исходный IP-пакет.
Как видно на следующей иллюстрации, режим туннелирования AH защищает весь исходный IP-пакет за счет дополнительного внешнего заголовка, который в режиме транспорта AH не используется:
Рис. 6.10. Туннельный и транспортный режимы работы протокола АН
В режиме транспорта ESP аутентифицирует не весь пакет, а обеспечивает защиту только полезных данных IP. Заголовок ESP в режиме транспорта ESP добавляется в IP-пакет сразу после заголовка IP, а окончание ESP (ESP Trailer), соответственно, добавляется после данных.
Режим транспорта ESP шифрует следующие части пакета:
полезные данные IP;
Алгоритм шифрования, который использует режим шифрования цепочки блоков (Cipher Block Chaining, CBC) имеет незашифрованное поле между заголовком ESP и полезной нагрузкой. Это поле называется вектором инициализации IV (Initialization Vector) для расчета CBC, которое выполняется на получателе. Так как это поле используется для начала процесса расшифровки, оно не может быть зашифрованным. Несмотря на то, что у злоумышленника есть возможность просмотра IV, он никак не сможет расшифровать зашифрованную часть пакета без ключа шифрования. Для предотвращения злоумышленниками изменения вектора инициализации, он охраняется контрольной суммой ICV. В этом случае ICV выполняет следующие расчеты:
все поля в заголовке ESP;
полезные данные, включая открытый текст IV;
все поля в ESP Trailer, за исключением поля данных проверки подлинности.
Туннельный режим ESP инкапсулирует весь исходный IP-пакет в заголовок нового IP, заголовок ESP и ESP Trailer. Для того чтобы указать, что в заголовке IP присутствует ESP, устанавливается идентификатор протокола IP 50, причем исходный заголовок IP и полезные данные остаются без изменений. Как и в случае с туннельным режимом AH, внешний IP-заголовок базируется на конфигурации туннеля IPSec. В случае использования туннельного режима ESP область аутентификации IP-пакета показывает, где была поставлена подпись, удостоверяющая его целостность и подлинность, а зашифрованная часть показывает, что информация является защищенной и конфиденциальной. Исходный заголовок помещается после заголовка ESP. После того, как зашифрованная часть инкапсулируется в новый туннельный заголовок, который не зашифровывается, осуществляется передача IP-пакета. При отправке через общедоступную сеть такой пакет маршрутизируется на IP-адрес шлюза принимающей сети, а уже шлюз расшифровывает пакет и отбрасывает заголовок ESP с использованием исходного заголовка IP для последующей маршрутизации пакета на компьютер, находящийся во внутренней сети. Режим туннелирования ESP шифрует следующие части пакета:
Для туннельного режима ESP расчет ICV производится следующим образом:
все поля в заголовке ESP;
исходный IP-пакет, включая открытый текст IV;
все поля заголовка ESP, за исключением поля данных проверки подлинности.
исходный IP-пакет;
Рис. 6.11. Туннельный и транспортный режим протокола ESP
Рис. 6.12. Сравнение протоколов ESP и AH
Резюме по применению режимов IPSec :
Протокол – ESP (AH).
Режим – туннельный (транспортный).
Способ обмена ключами – IKE (ручной).
Режим IKE – main (aggressive).
Ключ DH – group 5 (group 2, group 1) – номер группы для выбора динамически создаваемых ключей сеанса, длина группы.
Аутентификация – SHA1 (SHA, MD5).
Шифрование – DES (3DES, Blowfish, AES).
При создании политики, как правило, возможно создание упорядоченного списка алгоритмов и Diffie-Hellman групп. Diffie-Hellman (DH) – протокол шифрования, используемый для установления общих секретных ключей для IKE, IPSec и PFS (Perfect Forward Secrecy – совершенная прямая секретность). В таком случае будет использована первая позиция, совпавшая на обоих узлах. Очень важно, чтобы всё в политике безопасности позволяло добиться этого совпадения. Если за исключением одной части политики всё остальное совпадает, узлы всё равно не смогут установить VPN-соединение. При настройке VPN-туннеля между различными системами нужно выяснить, какие алгоритмы поддерживаются каждой стороной, чтобы была возможность выбора наиболее безопасной политики из всех возможных.
Основные настройки, которые включает в себя политика безопасности:
Симметричные алгоритмы для шифрования/дешифрования данных.
Криптографические контрольные суммы для проверки целостности данных.
Способ идентификации узла. Самые распространенные способы – это предустановленные ключи (pre-shared secrets) или СА-сертификаты.
Использовать ли режим туннеля или режим транспорта.
Какую использовать группу Diffie-Hellman (DH group 1 (768-bit); DH group 2 (1024-bit); DH group 5 (1536-bit)).
Использовать ли AH, ESP, или оба вместе.
Использовать ли PFS.
Ограничением IPSec является то, что он поддерживает только передачу данных на уровне протокола IP.
Существуют две основные схемы применения IPSec, отличающиеся ролью узлов, образующих защищенный канал.
В первой схеме защищенный канал образуется между конечными хостами сети. В этой схеме протокол IPSec защищает тот узел, на котором выполняется:
Рис. 6.13. Создание защищенного канала между двумя конечными точками
Во второй схеме защищенный канал устанавливается между двумя шлюзами безопасности. Эти шлюзы принимают данные от конечных хостов, подключенных к сетям, расположенным за шлюзами. Конечные хосты в этом случае не поддерживают протокол IPSec, трафик, направляемый в публичную сеть, проходит через шлюз безопасности, который выполняет защиту от своего имени.
Рис. 6.14. Создание защищенного канала между двумя шлюзами
Для хостов, поддерживающих IPSec, возможно использование как транспортного, так и туннельного режимов. Для шлюзов разрешается использование только туннельного режима.
Установка и поддержка VPN
Как упоминалось выше, установка и поддержка VPN-туннеля выполняется в два этапа. На первом этапе (фазе) два узла договариваются о методе идентификации, алгоритме шифрования, хэш-алгоритме и группе Diffie-Hellman. Они также идентифицируют друг друга. Всё это может пройти в результате обмена тремя нешифрованными сообщениями (т.н. агрессивный режим, Aggressive mode ) или шестью сообщениями, с обменом зашифрованной информацией об идентификации (стандартный режим, Main mode ).
В режиме Main Mode обеспечивается возможность согласований всех параметров конфигурации устройств отправителя и получателя, в то время как в режиме Aggressive Mode такой возможности нет, и некоторые параметры (группа Diffie-Hellman, алгоритмы шифрования и аутентификации, PFS) должны быть заранее одинаково настроены на каждом устройстве. Однако, в данном режиме меньше и число обменов, и число пересылаемых при этом пакетов, в результате чего требуется меньше времени для установки сеанса IPSec.
Рис. 6.15. Обмен сообщениями в стандартном (а) и агрессивном (б) режимах
Предполагая, что операция завершилась успешно, создаётся SA первой фазы – Phase 1 SA (также называемый IKE SA ) и процесс переходит ко второй фазе.
На втором этапе генерируются данные ключей, узлы договариваются об используемой политике. Этот режим, также называемый быстрым режимом (Quick mode), отличается от первой фазы тем, что может установиться только после первого этапа, когда все пакеты второй фазы шифруются. Правильное завершение второй фазы приводит к появлению Phase 2 SA или IPSec SA и на этом установка туннеля считается завершённой.
Сначала на узел прибывает пакет с адресом назначения в другой сети, и узел инициирует первую фазу с тем узлом, который отвечает за другую сеть. Допустим, туннель между узлами был успешно установлен и ожидает пакеты. Однако узлам необходимо переидентифицировать друг друга и сравнить политику по прошествие определённого периода времени. Этот период называется время жизни Phase One или IKE SA lifetime.
Узлы также должны сменить ключ для шифрования данных через отрезок времени, который называется временем жизни Phase Two или IPSec SA lifetime.
Phase Two lifetime короче, чем у первой фазы, т.к. ключ необходимо менять чаще. Нужно задать одинаковые параметры времени жизни для обоих узлов. Если не выполнить этого, то возможен вариант, когда изначально туннель будет установлен успешно, но по истечении первого несогласованного промежутка времени жизни связь прервётся. Проблемы могут возникнуть и в том случае, когда время жизни первой фазы меньше аналогичного параметра второй фазы. Если настроенный ранее туннель прекращает работу, то первое, что нуждается в проверке – это время жизни на обоих узлах.
Еще следует отметить, что при смене политики на одном из узлов изменения вступят в силу только при следующем наступлении первой фазы. Чтобы изменения вступили в силу немедленно, надо убрать SA для этого туннеля из базы данных SAD. Это вызовет пересмотр соглашения между узлами с новыми настройками политики безопасности.
Иногда при настройке IPSec-туннеля между оборудованием разных производителей возникают затруднения, связанные с согласованием параметров при установлении первой фазы. Следует обратить внимание на такой параметр, как Local ID – это уникальный идентификатор конечной точки туннеля (отправителя и получателя). Особенно это важно при создании нескольких туннелей и использовании протокола NAT Traversal.
Dead Peer Detection
В процессе работы VPN, при отсутствии трафика между конечными точками туннеля, или при изменении исходных данных удалённого узла (например, смена динамически назначенного IP-адреса), может возникнуть ситуация, когда туннель по сути таковым уже не является, становясь как бы туннелем-призраком. Для того чтобы поддерживать постоянную готовность к обмену данными в созданном IPSec-туннеле, механизм IKE (описанный в RFC 3706) позволяет контролировать наличие трафика от удалённого узла туннеля, и в случае его отсутствия на протяжении установленного времени, посылается hello- сообщение (в межсетевых экранах D-Link посылается сообщение "DPD-R-U-THERE"). При отсутствии ответа на это сообщение в течение определённого времени, в межсетевых экранах D-Link заданного настройками "DPD Expire Time", туннель демонтируется. Межсетевые экраны D-Link после этого, используя настройки "DPD Keep Time" ( рис. 6.18 ), автоматически пытаются восстановить туннель.
Протокол NAT Traversal
IPsec-трафик может маршрутизироваться по тем же правилам, что и остальные IP-протоколы, но так как маршрутизатор не всегда может извлечь информацию, характерную для протоколов транспортного уровня, то прохождение IPsec через NAT-шлюзы невозможно. Как упоминалось ранее, для решения этой проблемы IETF определила способ инкапсуляции ESP в UDP, получивший название NAT-T (NAT Traversal).
Протокол NAT Traversal инкапсулирует трафик IPSec и одновременно создает пакеты UDP, которые NAT корректно пересылает. Для этого NAT-T помещает дополнительный заголовок UDP перед пакетом IPSec, чтобы он во всей сети обрабатывался как обычный пакет UDP и хост получателя не проводил никаких проверок целостности. После поступления пакета по месту назначения заголовок UDP удаляется, и пакет данных продолжает свой дальнейший путь как инкапсулированный пакет IPSec. Таким образом, с помощью механизма NAT-T возможно установление связи между клиентами IPSec в защищённых сетях и общедоступными хостами IPSec через межсетевые экраны.
При настройке межсетевых экранов D-Link в устройстве-получателе нужно отметить два пункта:
в полях Remote Network и Remote Endpoint указать сеть и IP-адрес удаленного устройства-отправителя. Необходимо разрешить преобразование IP-адреса инициатора (отправителя) с помощью технологии NAT (рисунок 3.48).
при использовании общих ключей с несколькими туннелями, подключенными к одному удаленному межсетевому экрану, которые были преобразованы с помощью NAT в один и тот же адрес, важно убедиться в том, что Local ID является уникальным для каждого туннеля.
Local ID может быть одним из:
- Информация сохраняется в секрете.
- Удаленные сайты могут осуществлять обмен информацией незамедлительно.
- Удаленные пользователи не ощущают себя изолированными от системы, к которой они осуществляют доступ.
- Трафик шифруется для обеспечения защиты от прослушивания.
- Осуществляется аутентификация удаленного сайта.
- Виртуальные частные сети обеспечивают поддержку множества протоколов.
- Соединение обеспечивает связь только между двумя конкретными абонентами.
Auto – в качестве локального идентификатора используется IP-адрес интерфейса исходящего трафика.
IP – IP-адрес WAN-порта удаленного межсетевого экрана
DNS – DNS-адрес
Виртуальной локальной сетью (Virtual Local Area Network, VLAN) называется группа узлов сети, трафик которой, в том числе широковещательный, на канальном уровне полностью изолирован от трафика других узлов сети.
Рис. 14.10. Виртуальные локальные сети.
Это означает, что передача кадров между разными виртуальными сетями на основании адреса канального уровня невозможна независимо от типа адреса (уникального, группового или широковещательного). В то же время внутри виртуальной сети кадры передаются по технологии коммутации, то если только на тот порт, который связан с адресом назначения кадра.
Виртуальные локальные сети могут перекрываться, если один или несколько компьютеров входят в состав более чем одной виртуальной сети. На рис. 14.10 сервер электронной почты входит в состав виртуальных сетей 3 и 4. Это означает, что его кадры передаются коммутаторами всем компьютерам, входящим в эти сети. Если же какой-то компьютер входит в состав только виртуальной сети 3, то его кадры до сети 4 доходить не будут, но он может взаимодействовать с компьютерами сети 4 через общий почтовый сервер. Такая схема защищает виртуальные сети друг от друга не полностью, например, широковещательный шторм, возникший на сервере электронной почты, затопит и сеть 3, и сеть 4.
Говорят, что виртуальная сеть образует домен широковещательного трафика по аналогии с доменом коллизий, который образуется повторителями сетей Ethernet.
Назначение виртуальных сетей
Как мы видели на примере из предыдущего раздела, с помощью пользовательских фильтров можно вмешиваться в нормальную работу коммутаторов и ограничивать взаимодействие узлов локальной сети в соответствии с требуемыми правилами доступа. Однако механизм пользовательских фильтров коммутаторов имеет несколько недостатков:
Приходится задавать отдельные условия для каждого узла сети, используя при этом громоздкие МАС-адреса. Гораздо проще было бы группировать узлы и описывать условия взаимодействия сразу для групп.
Невозможно блокировать широковещательный трафик. Широковещательный трафик может быть причиной недоступности сети, если какой-то ее узел умышленно или неумышленно с большой интенсивностью генерирует широковещательные кадры.
Техника виртуальных локальных сетей решает задачу ограничения взаимодействия узлов сети другим способом.
Основное назначение технологии VLAN состоит в облегчении процесса создания изолированных сетей, которые затем обычно связываются между собой с помощью маршрутизаторов. Такое построение сети создает мощные барьеры на пути нежелательного трафика из одной сети в другую. Сегодня считается очевидным, что любая крупная есть должна включать маршрутизаторы, иначе потоки ошибочных кадров, например широковещательных, будут периодически «затапливать» всю сеть через прозрачные для них коммутаторы, приводя ее в неработоспособное состояние.
Достоинством технологии виртуальных сетей является то, что она позволяет создавать полностью изолированные сегменты сети, путем логического конфигурирования коммутаторов, не прибегая к изменению физической структуры.
До появления технологии VLAN для создания отдельной сети использовались либо физически изолированные сегменты коаксиального кабеля, либо не связанные между собой сегменты, построенные на повторителях и мостах. Затем эти сети связывались маршрутизаторами в единую составную сеть (рис. 14.11).
Изменение состава сегментов (переход пользователя в другую сеть, дробление крупных сегментов) при таком подходе подразумевает физическую перекоммутацию разъемов на передних панелях повторителей или на кроссовых панелях, что не очень удобно в больших сетях - много физической работы, к тому же высока вероятность ошибки.
Рис. 14.11. Составная сеть, состоящая из сетей, построенных на основе повторителей
Для связывания виртуальных сетей в общую сеть требуется привлечение средств сетевого уровня. Он может быть реализован в отдельном маршрутизаторе или в составе программного обеспечения коммутатора, который тогда становится комбинированным устройством - так называемым коммутатором 3-го уровня.
Технология виртуальных сетей долгое время не стандартизировалась, хотя и была реализована в очень широком спектре моделей коммутаторов разных производителей. Положение изменилось после принятия в 1998 году стандарта IEEE 802.1Q, который определяет базовые правила построения виртуальных локальных сетей, не зависящие от протокола канального уровня, поддерживаемого коммутатором.
Создание виртуальных сетей на базе одного коммутатора
При создании виртуальных сетей на основе одного коммутатора обычно используется механизм группирования портов коммутатора (рис. 14.12). При этом каждый порт приписывается той или иной виртуальной сети. Кадр, пришедший от порта, принадлежащего, например, виртуальной сети 1, никогда не будет передан порту, который не принадлежит этой виртуальной сети. Порт можно приписать нескольким виртуальным сетям, хотя на практике так делают редко - пропадает эффект полной изоляции сетей.
Создание виртуальных сетей путем группирования портов не требует от администратора большого объема ручной работы - достаточно каждый порт приписать к одной из нескольких заранее поименованных виртуальных сетей. Обычно такая операция выполняется с помощью специальной программы, прилагаемой к коммутатору.
Второй способ образования виртуальных сетей основан на группировании МАС-адресов. Каждый МАС-адрес, который изучен коммутатором, приписывается той или иной виртуальной сети. При существовании в сети множества узлов этот способ требует от администратора большого объема ручной работы. Однако при построении виртуальных сетей на основе нескольких коммутаторов он оказывается более гибким, чем группирование портов.
Рис. 14.12. Виртуальные сети, построенные на одном коммутаторе
Создание виртуальных сетей на базе нескольких коммутаторов
Рисунок 14.13 иллюстрирует проблему, возникающую при создании виртуальных сетей на основе нескольких коммутаторов, поддерживающих технику группирования портов.
Рис. 14.13. Построение виртуальных сетей на нескольких коммутаторах с группированием портов
Если узлы какой-либо виртуальной сети подключены к разным коммутаторам, то для подключения каждой такой сети на коммутаторах должна быть выделена специальная пара портов. Таким образом, коммутаторы с группированием портов требуют для своего соединения столько портов, сколько виртуальных сетей они поддерживают. Порты и кабели используются в этом случае очень расточительно. Кроме того, при соединении виртуальных сетей через маршрутизатор для каждой виртуальной сети выделяется отдельный кабель и отдельный порт маршрутизатора, что также приводит к большим накладным расходам.
Группирование МАС-адресов в виртуальную сеть на каждом коммутаторе избавляет от необходимости связывать их по нескольким портам, поскольку в этом случае МАС-адрес становится меткой виртуальной сети. Однако этот способ требует выполнения большого количества ручных операций по маркировке МАС-адресов на каждом коммутаторе сети.
Описанные два подхода основаны только на добавлении дополнительной информации к адресным таблицам коммутатора и в них отсутствует возможность встраивания в передаваемый кадр информации о принадлежности кадра виртуальной сети. В остальных подходах используются имеющиеся или дополнительные поля кадра для сохранения информации о принадлежности кадра той или иной виртуальной локальной сети при его перемещениях между коммутаторами сети. При этом нет необходимости помнить в каждом коммутаторе о принадлежности всех МАС-адресов составной сети виртуальным сетям.
Дополнительное поле с пометкой о номере виртуальной сети используется только тогда, когда кадр передается от коммутатора к коммутатору, а при передаче кадра конечному узлу оно обычно удаляется. При этом модифицируется протокол взаимодействия «коммутатор-коммутатор», а программное и аппаратное обеспечение конечных узлов остается неизменным.
Ethernet вносит дополнительный заголовок, который называется тегом виртуальной локальной сети.
Тег VLAN не является обязательным для кадров Ethernet. Кадр, у которого имеется такой заголовок, называют помеченным (tagged frame). Коммутаторы могут одновременно работать как с помеченными, так и с непомеченными кадрами. Из-за добавления тега VLAN максимальная длина поля данных уменьшилась на 4 байта.
Для того чтобы оборудование локальных сетей могло отличать и понимать помеченные кадры, для них введено специальное значение поля EtherType, равное 0x8100. Это значение говорит о том, что за ним следует поле TCI, а не стандартное поле данных. Обратите внимание, что в помеченном кадре за полями тега VLAN следует другое поле EtherType, указывающее тип протокола, данные которого переносятся полем данных кадра.
В поле TCI находится 12-битпое поле номера (идентификатора) VLAN, называемого VID. Разрядность поля VID позволяет коммутаторам создавать до 4096 виртуальных сетей.
Пользуясь значением VID в помеченных кадрах, коммутаторы сети выполняют групповую фильтрацию трафика, разбивая сеть на виртуальные сегменты, то есть на VLAN. Для поддержки этого режима каждый порт коммутатора приписывается к одной или нескольким виртуальным локальным сетям, то есть выполняется группировка портов.
Для упрощения конфигурирования сети в стандарте 802.1Q появляются понятия линии доступа и транка.
Линия доступа связывает порт коммутатора (называемый в этом случае портом доступа) с компьютером, принадлежащим некоторой виртуальной локальной сети.
Транк – это линия связи, которая соединяет между собой порты двух коммутаторов, в общем случае через транк передается трафик нескольких виртуальных сетей.
Для того чтобы образовать в исходной сети виртуальную локальную сеть, нужно в первую очередь выбрать для нее значение идентификатора VID, отличное от 1, а затем, используй команды конфигурирования коммутатора, приписать к этой сети те порты, к которым присоединены включаемые в нее компьютеры. Порт доступа может быть приписан только к одной виртуальной локальной сети.
Порты доступа получают от конечных узлов сети непомеченные кадры и помечают их тегом VLAN, содержащим то значение VID, которое назначено этому порту. При передаче же помеченных кадров конечному узлу порт доступа удаляет тег виртуальной локальной сети.
Для более наглядного описания вернемся к рассмотренному ранее примеру сети. Нарис. 14.15 показано, как решается задача избирательного доступа к серверам на основе техники VLAN.
Рис. 14.15. Разбиение сети на две виртуальные локальные сети
Чтобы решить эту задачу, можно организовать в сети две виртуальные локальные сети, VLAN2 и VLAN3 (напомним, что сеть VLAN1 уже существует по умолчанию - это наша исходная сеть), приписан один набор компьютеров и серверов к VLAN2, а другой -KVLAN3.
Для приписывания конечных узлов к определенной виртуальной локальной сети соответствующие порты объявляются портами доступа этой сети путем назначения им соответствующего идентификатора VID. Например, порт 1 коммутатора SW1 должен быть объявлен портом доступа VLAN2 путем назначения ему идентификатора VID2, то же самое должно быть проделано с портом 5 коммутатора SW1, портом 1 коммутатора SW2 1 портом 1 коммутатора SW3. Порты доступа сети VLAN3 должны получить идентификатор VID3.
В пашей сети нужно также организовать транки - те линии связи, которые соединяют между собой порты коммутаторов. Порты, подключенные к транкам, не добавляют и не удаляют теги, они просто передают кадры в неизменном виде. В нашем примере такими портами должны быть порты 6 коммутаторов SW1 и SW2, а также порты 3 и 4 коммутатора ЩЗ. Порты в нашем примере должны поддерживать сети VLAN2 и VLAN3 (и VLAN1, если в сети есть узлы, явно не приписанные ни к одной виртуальной локальной сети).
Коммутаторы, поддерживающие технологию VLAN, осуществляют дополнительную фильтрацию трафика. В том случае если таблица продвижения коммутатора говорит о том, то пришедший кадр нужно передать на некоторый порт, перед передачей коммутатор проверяет, соответствует ли значение VTD в теге VL AN кадра той виртуальной локальной сети, которая приписана к этому порту. В случае соответствия кадр передается, несоответствия - отбрасывается. Непомеченные кадры обрабатываются аналогичным образом, но с использованием условной сети VLAN1. MAC-адреса изучаются коммутаторами сети отдельно, но каждой виртуальной локальной сети.
Техника VLAN оказывается весьма эффективной для разграничения доступа к серверам. Конфигурирование виртуальной локальной сети не требует знания МАС-адресов узлов, кроме того, любое изменение в сети, например подключение компьютера к другому коммутатору, требует конфигурирования лишь порта данного коммутатора, а все остальные коммутаторы сети продолжают работать без внесения изменений, в их конфигурации.
Частные сети используются организациями для соединения с удаленными сайтами и с другими организациями. Частные сети состоят из каналов связи, арендуемых у различных телефонных компаний и поставщиков услуг интернета. Эти каналы связи характеризуются тем, что они соединяют только два объекта, будучи отделенными от другого трафика, так как арендуемые каналы обеспечивают двустороннюю связь между двумя сайтами. Частные сети обладают множеством преимуществ.
К сожалению, этот тип сетей обладает одним большим недостатком - высокой стоимостью. Использование частных сетей - очень дорогое удовольствие. Используя менее скоростные каналы связи, можно сэкономить деньги, но тогда удаленные пользователи начнут замечать недостаток в скорости, и некоторые из указанных выше преимуществ станут менее очевидными.
С увеличением числа пользователей интернета многие организации перешли на использование виртуальных частных сетей ( VPN ). Виртуальные частные сети обеспечивают многие преимущества частных сетей за меньшую цену. Тем не менее, с внедрением VPN появляется целый ряд вопросов и опасностей для организации. Правильно построенная виртуальная частная сеть может принести организации большую пользу. Если же VPN реализована некорректно, вся информация , передаваемая через VPN , может быть доступна из интернета.
Определение виртуальных частных сетей
Итак, мы намереваемся передавать через интернет секретные данные организации без использования арендуемых каналов связи, по-прежнему принимая все меры для обеспечения конфиденциальности трафика . Каким же образом нам удастся отделить свой трафик от трафика остальных пользователей глобальной сети? Ответом на этот вопрос является шифрование .
В интернете можно встретить трафик любого типа. Значительная часть этого трафика передается в открытом виде, и любой пользователь , наблюдающий за этим трафиком, сможет его распознать. Это относится к большей части почтового и веб-трафика, а также сеансам связи через протоколы telnet и FTP . Трафик Secure Shell ( SSH ) и Hypertext Transfer Protocol Secure ( HTTPS ) является шифруемым трафиком, и его не сможет просмотреть пользователь , отслеживающий пакеты. Тем не менее, трафик типа SSH и HTTPS не образует виртуальную частную сеть VPN .
Виртуальные частные сети обладают несколькими характеристиками.
Так как SSH и HTTPS не способны поддерживать несколько протоколов, то же самое относится и к реальным виртуальным частным сетям. VPN -пакеты смешиваются с потоком обычного трафика в интернете и существуют отдельно по той причине, что данный трафик может считываться только конечными точками соединения.
Примечание
Возможно реализовать передачу трафика через сеанс SSH с использованием туннелей . Тем не менее, в рамках данной лекции мы не будем рассматривать SSH как VPN .
Рассмотрим более детально каждую из характеристик VPN . Выше уже говорилось о том, что трафик VPN шифруется для защиты от прослушивания. Шифрование должно быть достаточно мощным, чтобы можно было гарантировать конфиденциальность передаваемой информации на тот период, пока она будет актуальна. Пароли имеют срок действия, равный 30 дням (подразумевается политика изменения пароля через каждые 30 дней); однако секретная информация может не утрачивать своей ценности на протяжении долгих лет. Следовательно, алгоритм шифрования и применение VPN должны предотвратить нелегальное дешифрование трафика на несколько лет.
Вторая характеристика заключается в том, что осуществляется аутентификация удаленного сайта. Эта характеристика может требовать аутентификацию некоторых пользователей на центральном сервере либо взаимную аутентификацию обоих узлов, которые соединяет VPN . Используемый механизм аутентификации контролируется политикой. Политика может предусмотреть аутентификацию пользователей по двум параметрам или с использованием динамических паролей. При взаимной аутентификации может потребоваться, чтобы оба сайта демонстрировали знание определенного общего секрета (под секретом подразумевается некоторая информация , заранее известная обоим сайтам), либо могут потребоваться
Из самого названия - виртуальная частная сеть - следует, что она каким-то образом воспроизводит свойства реальной частной сети.
Без всяких натяжек назвать сеть частной можно только в том случае, если предприятие единолично владеет и управляет всей сетевой инфраструктурой - кабелями, кроссовым оборудованием, каналообразующей аппаратурой, коммутаторами, маршрутизаторами и другим коммуникационным оборудованием.
Виртуальная частная сеть представляет собой своего рода «сеть в сети», то есть сервис, создающий у пользователей иллюзию существования их частной сети внутри публичной сети.
Основными задачами технологии VPN являются обеспечение в публичной сети гарантированного качества обслуживания для потоков пользовательских данных, а также защита их от возможного НСД или разрушения.
Виртуальной частной сетью (Virtual Private Network – VPN) называют объединение локальных сетей через открытую внешнюю среду (глобальную сеть) в единую корпоративную сеть, обеспечивающую безопасное циркулирование данных.
Сущность технологии VPN заключается в следующем (рисунок 6.1):
Рисунок 6.1 - СхемаVPN-сети
На все компьютеры, имеющие выход в Интернет (вместо Интернета может быть и любая другая сеть общего пользования), устанавливается VPN-агенты, которые обрабатывают IP-пакеты, передаваемые по вычислительным сетям.
VPN-агенты автоматически шифруют всю исходящую информацию (и соответственно расшифровывают всю входящую). Они также следят за её целостностью с помощью электронной цифровой подписи (ЭЦП) или имитовставок (криптографическая контрольная сумма, рассчитанная с использованием ключа шифрования).
Перед отправкой IP-пакета VPN-агент действует следующим образом.
Анализируется IP-адрес получателя пакета, в зависимости от этого адреса выбирается алгоритм защиты данного пакета. Если же в настройках VPN-агента такого получателя нет, то информация не отправляется.
Генерирует и добавляет в пакет ЭЦП отправителя или имитовставку.
Шифрует пакет (целиком, включая заголовок).
Проводит инкапсуляцию, т.е. формирует новый заголовок, где указывает адрес вовсе не получателя, а его VPN-агента. Эта полезная дополнительная функция позволяет представить обмен между двумя сетями как обмен между двумя компьютерами, на которых установлены VPN-агенты. Всякая полезная для злоумышленника информация, например, внутренние IP-адреса, ему уже не доступна.
При получении IP-пакета выполняются обратные действия.
Заголовок содержит сведения о VPN-агенте отправителя. Если таковой не входит в список разрешённых в настройках, то информация просто отбрасывается.
Согласно настройкам выбираются криптографические алгоритмы и ЭЦП, а также необходимые ключи, после чего пакет расшифровывается и проверяется его целостность, пакеты с нарушенной целостностью (ЭЦП не верна) также отбрасываются.
После всех обратных преобразований пакет в его исходном виде отправляется настоящему адресату по локальной сети.
Все перечисленные операции выполняются автоматически, работа VPN-агентов является незаметной для пользователей. VPN-агент может находиться непосредственно на защищаемом компьютере (что особенно полезно для мобильных пользователей). В этом случае он защищает обмен данными только одного компьютера, на котором он установлен.
6.1 Понятие "туннеля" при передаче данных в сетях
Для передачи данных VPN-агенты создают виртуальные каналы между защищаемыми локальными сетями или компьютерами (такой канал называется "туннелем", а технология его создания называется "туннелированием"). Вся информация передается по туннелю в зашифрованном виде.
Рисунок 6.2.
Одной из обязательных функций VPN-агентов является фильтрация пакетов. Фильтрация пакетов реализуется в соответствии с настройками VPN-агента, совокупность которых образует политику безопасности виртуальной частной сети. Для повышения защищенности виртуальных частных сетей на концах туннелей целесообразно располагать межсетевые экраны (фильтры).
VPN-агенты выполняют роль VPN-шлюзов. VPN шлюз безопасности представляет собой сетевое устройство, подключаемое к двум сетям – глобальной и локальной и выполняющее функции шифрования и аутентификации для хостов, расположенной за ним сети. Шлюз VPN может быть реализован в виде отдельного аппаратного устройства, отдельного программного решения, а также в виде брандмауэра или маршрутизатора, дополненных функциями VPN.
Сетевое соединение VPN шлюза безопасности представляется пользователям расположенной за ним сети как выделенная линия, хотя на самом деле представляет собой открытую сеть с коммутацией пакетов. Адрес VPN шлюза безопасности со стороны внешней сети определяет адрес входящего туннелируемого пакета. Внутренний адрес представляет собой адрес хоста позади шлюза. VPN шлюз безопасности может функционировать в составе маршрутизатора, межсетевого экрана и т.п.
Особенностью тунелирования является то, что эта технология позволяет зашифровать исходный пакет целиком, вместе с заголовком, а не только его поле данных. Исходный пакет зашифровывают полностью вместе с заголовком, и этот зашифрованный пакет помещают в другой, внешний пакет с открытым заголовком. Для транспортировки данных по «опасной» сети используются открытые поля заголовка внешнего пакета, а при прибытии внешнего пакета в конечную точку защищённого канала из него извлекают внутренний пакет, расшифровывают и используют его заголовок для дальнейшей передачи уже в открытом виде по сети, не требующей защиты.
Рисунок 6.3 – Организация туннеляVPN
При этом для внешних пакетов используются адреса пограничных маршрутизаторов (VPN-шлюзов), установленных в этих двух точках, а внутренние адреса конечных узлов содержатся во внутренних пакетах в защищённом виде (рисунок 6.4).
Рисунок 6.4 – Туннелирование пакетов
6.2 Архитектура VPN-сетей
По архитектуре принято выделять три основных вида VPN:
1) VPN с удаленным доступом (Remote Access VPN)
2) Внутрикорпоративные VPN (Intranet VPN)
3) Межкорпоративные VPN (Extranet VPN)
VPN с удаленным доступом
С помощью этой схемы (рисунок 6.5) осуществляется удаленный доступ отдельно взятых сотрудников к корпоративной сети организации через общедоступную сеть. Удаленные клиенты могут работать на дому, либо, используя переносной компьютер, из любого места планеты, где есть доступ к всемирной паутине.
Рисунок 6.5 – VPN с удалённым доступом
6.2.2 Внутрикорпоративные VPN (рисунок 6.6)
Рисунок 6.6 – Intranet VPN
Здесь осуществляется связь в одну общую сеть территориально распределенных филиалов фирмы. Этот способ называется Intranet VPN . Данный способ целесообразно использовать как для обыкновенных филиалов, так и для мобильных офисов, которые будут иметь доступ к ресурсам «материнской» компании, а также без проблем обмениваться данными между собой.
6.2.3 Межкорпоративные VPN (рисунок 6.7)
Рисунок 6.7 – Extranet VPN
Это так называемый Extranet VPN , когда через безопасные каналы доступа предоставляется доступ для клиентов или партнёров организации . Набирает широкое распространение в связи с популярностью электронной коммерции.
В этом случае для удаленных клиентов (партнёров) будут очень урезаны возможности по использованию корпоративной сети, фактически они будут ограничены доступом к тем ресурсам компании, которые необходимы при работе со своими клиентами, например, сайта с коммерческими предложениями, а VPN используется в этом случае для безопасной пересылки конфиденциальных данных.
На рисунке 6.7 кроме шлюзов VPN показаны ещё и межсетевые экраны МЭ . Межсетевые экраны (фильтры ) обеспечивают контроль передаваемого содержимого (вирусы и другие внешние атаки). МЭ – это «ограда» вокруг сети, которая препятствует проникновению сквозь неё злоумышленников, в то время как VPN – это «бронированный автомобиль», который защищает ценности при вывозе за пределы ограды. Поэтому надо использовать оба решения для обеспечения необходимого уровня защищённости информационных ресурсов. Чаще всего функции МЭ и VPN совмещают в одном и том же устройстве.