1 Обзорный анализ технологии VPN
VPN (Virtual Private Network – виртуальная частная сеть) –логическая сеть, создаваемая поверх другой сети, например Internet. VPN позволяет объединить, например, несколько офисов организации в единую сеть, используя неконтролируемые каналы связи между этими офисами, на рисунке 1.1. приведена схема виртуальной частной сети. Коммуникации осуществляются по сетям общего пользования по незащищенным протоколам, но за счет шифрования организуются закрытые от посторонних каналы передачи информации.
Рисунок 1.1 – Виртуальная частная сеть
Технология VPN имеет основные свойства выделенной линии, но она развернута в общедоступной сети, такой как Интернет. Организация виртуальной частной сети на практике выглядит следующим образом:
– в локальной сети офиса создается VPN-сервер;
– удаленный пользователь (или роутер, в случае подключения двух офисов) с помощью ПО (ПО) VPN-клиента инициирует процесс подключения к серверу;
– пользователь аутентифицируется – первый шаг в установлении VPN-подключения;
– когда учетные данные подтверждены, начинается второй этап – между клиентом и сервером согласовываются детали защиты соединения;
– после этого осуществляется VPN-подключение, обеспечивающее обмен данными между клиентом и сервером в формате, при котором каждый пакет данных проходит процедуры шифрования/дешифрования и проверки целостности – аутентификации данных.
1.1 Систематизация VPN сетей
Систематизация VPN сетей представлена на рисунке 1.2.
Рисунок 1.2 – Систематизация VPN сетей?
VPN-решения следует систематизировать по следующим основным параметрам:
1. По типу используемой среды:
– Защищённые VPN сети. Самый распространенный вариант частных сетей. С его помощью можно организовать надежную и безопасную подсеть на основе ненадежной сети, чаще всего Интернета (примеры защищённых VPN являются: OpenVPN, IPSec, PPTP.
Рисунок 1.3 –VPN с использованием Интернета
– Доверительные VPN сети. Данные сети применяются в случаях, если передающая среда является надёжной и необходимо решить только задачу организации виртуальной подсети в масштабах большей сети (примерами подобных VPN решений являются MPLS и L2TP. Корректнее отметить, что эти протоколы передают задачу обеспечения безопасности на другие, к примеру L2TP, в частности, используется в паре с IPSec. [1].
2. По способу реализации:
– VPN сети в виде специального программно-аппаратного обеспечения. Организация VPN сети осуществляется с помощью специального комплекса программно-аппаратных средств, подобная организация дает высокую производительность и высокую степень защищённости.
– VPN сети в виде ПО. Применяют персональный компьютер со специальным программным обеспечением, которое обеспечивает функциональность VPN.
– VPN сети с интегрированным решением. Функциональность VPN организует комплекс, который одновременно решает задачи фильтрации сетевого трафика, создает сетевой экрана и обеспечивает качество обслуживания.
3. По назначению:
– Intranet VPN. Применяют для объединения в общую защищённую сеть нескольких распределённых филиалов одной фирмы, которые обмениваются информацией по открытым каналам связи.
– Remote Access VPN. Применяют для организации защищённого канала между сегментом корпоративной сети и пользователем, работающий дома, подключающегося к корпоративным данными с домашнего персонального компьютера или, к примеру, находясь в командировке, подключается к корпоративным данным при помощи мобильного устройства.
– Extranet VPN. Применяют для сетей, к которым осуществляется подключение «внешних» пользователи (к примеру, заказчики или клиенты). Уровень доверия к ним гораздо ниже, чем к сотрудникам фирмы, поэтому требуется обеспечение специальных стадий защиты, которые предотвращают или ограничивают доступ последних к очень ценной, конфиденциальной информации.
4. По типу протокола:
– Существуют организации виртуальных частных сетей под TCP/IP, IPX и AppleTalk.
5. По уровню сетевого протокола:
– По уровню сетевого протокола на основе соотнесения с уровнями сетевой модели ISO/OSI.
1.2 Организация сети VPN
Есть несколько вариантов построения VPN. При выборе решения необходимо учитывать параметры производительности инструментов построения VPN, так, к примеру, если маршрутизатор работает на пределе производительности, то добавление туннелей VPN и использование шифрования и расшифровки данных может привести к остановке сети, поскольку маршрутизатор не сможет обрабатывать простой трафик так же хорошо, как VPN. Как показывает практика, для построения VPN необходимо использовать специализированное оборудование, но если есть ограничение в средствах, то следует использовать программные решения. Рассмотрим следующие варианты построения VPN согласно рисунку 1.4.
Рисунок 1.4 – варианты построения VPN сетей
VPN на основе брандмауэра (рис. 1.5). Большинство производителей межсетевых экранов используют туннелирование и шифрование данных, эти продукты основаны на зашифрованном трафике, который проходит через брандмауэр. Модуль шифрования применяется к программному обеспечению брандмауэра. Недостатком этого метода является то, что производительность зависит от оборудования, на котором работает брандмауэр. При применении брандмауэров на базе персонального компьютера необходимо учитывать, что подобное решение следует использовать только для небольших сетей с малым объемом передаваемых данных.
Рисунок 1.5 – VPN на базе брандмауэров
VPN на основе маршрутизатора (рисунок 1.6). Следующий способ создания VPN – использование маршрутизаторов для создания безопасных каналов, в связи с тем, что все данные, исходящие из локальной сети, поступают на маршрутизатор, они должны возлагаться на этот маршрутизатор, заодно и задачи шифрования. Примером оборудования для создания VPN на маршрутизаторах является оборудование от Cisco Systems. ПО IOS маршрутизатора Cisco поддерживает протоколы L2TP и IPSec. В дополнение к простому шифрованию входящих данных Cisco поддерживает другие функции VPN, такие как аутентификация туннельного соединения и обмен ключами. Для повышения производительности маршрутизатора следует использовать дополнительный модуль шифрования ESA. [5].
Рисунок 1.6 – VPN на базе маршрутизаторов
Программная VPN (рисунок 1.7). Еще один способ построить VPN – это программные решения, при реализации данного решения используется специализированное ПО, которое запускается на специальном компьютере и в большинстве случаев выступает в роли прокси-сервера.
Рисунок 1.7 – Программная VPN
Аппаратная VPN (рисунок 1.8). То, как VPN строится на специализированных устройствах, может быть применено к сетям, отвечающим высоким требованиям к производительности.
Рисунок 1.8 – Аппаратная VPN
1.3 Основные способы реализации VPN сетей
Основные составляющие VPN представлены на рисунке 1.9.
Рисунок 1.9 – Основные составляющие VPN
В данном разделе рассмотрим три основные компонента на которых основывается VPN: шифрование, туннелирование, аутентификация.
1.3.1 Туннелирование
При туннелировании пакеты информации передаются по открытой сети, как при обычном двухточечном соединении, между передатчиком и приемником устанавливается специальный туннель – защищенное логическое соединение, позволяющее инкапсулировать информацию одного протокола в пакеты другого.
Основными элементами тоннеля являются:
- инициатор;
– маршрутизируемая сеть;
– тоннельный переключатель;
– один или несколько терминаторов туннеля.
Туннелирование обеспечивает передачу информации между двумя точками, так, что вся сетевая инфраструктура, которая находится между ними, становится невидимой для отправителя и получателя информации.
Транспортная среда туннеля передает без изменений на выход пакеты применяемого сетевого протокола, принимаемые на входе в туннель. Создание туннеля достаточно для соединения двух сетевых узлов таким образом, чтобы с точки зрения используемого на них ПО они казались подключенными к одной и той же сети, то есть локальной сети. Но важно знать, что данные проходят через множество промежуточных узлов, которые являются сегментами открытой сети. Промежуточными узлами в данном случае являются маршрутизаторы.
Это обстоятельство имеет два недостатка:
– недоброжелатели имеют возможность корректировать передаваемые данные так, что получатель не может определить были ли они изменены;
– данные, которые направляются через туннель, могут быть перехвачены недоброжелателями.
Если данные носят конфиденциальный характер (например, личная информация, информация с банковских карт, финансовая отчетность), то есть риск их компрометации. Следует вывод о том, что туннель без дополнительной защиты может использоваться для некоторых видов сетевых приложений и не может использоваться для более серьезных задач, а перечисленные недостатки решаются средствами криптографической защиты данных, например, используются различные методы аутентификации и шифрования.