Циба С.В., Пархоменко І.І.
Національний університет
біоресурсів та природокористування України
Протоколи
та художні засоби реалізації VPN мереж
Останнім часом у
світі телекомунікацій спостерігається підвищений інтерес до віртуальним приватним мереж (VirtualPrivate Network – VPN). Це
пов'язано з необхідністю скорочення витрат утримання корпоративних мереж з
допомогою дешевшого підключення віддалених офісів віддалених користувачів через
мережу Internet. Справді, при порівнянні високій вартості послуг по з'єднанню
кількох мереж через Internet, наприклад, з мережами FrameRelay можна побачити
істотну різницю вартості. Однак необхідно відзначити, що з об'єднанні мереж
через Internet, одразу виникає питання про безпеку передачі, тому виникла
потреба створення механізмів дозволяють забезпечити конфіденційність і
цілісність переданої інформації. Мережі, побудовані з урахуванням таких
механізмів, й одержали назва VPN.
З іншого боку, часто-густо
сучасній людині, розвиваючи свій бізнес, доводиться чимало подорожувати. Це
може бути поїздки до найвіддаленіші кутки нашої країни чи країни зарубіжжя.
Нерідко людям потрібен доступом до своєї інформації, що зберігається з їхньої
домашньому комп'ютері, чи комп'ютері фірми. Цю проблему вирішити, організувавши
видалений доступу до нього з допомогою модему і телефонній лінії. Використання
телефонній лінії має свої особливості. Недоліки цього заходу у цьому, що
дзвінок з іншого країни стоїть чималі гроші. Є й інша рішення під назвою VPN.
Переваги технології VPN у цьому, організація видаленого доступу робиться не
через телефонну лінію, а ще через Internet, що від і від. На погляд, технологія
VPN має перспективу вона стала вельми поширеною у світі.
Що ж таке VPN? Це логічна
мережа, створювана поверх інший мережі, наприклад Internet. Попри те що, що
комунікації здійснюються за публічним мереж з допомогою небезпечних протоколів,
рахунок шифрування створюються закриті від сторонніх канали обміну інформацією
між. VPN дозволяє об'єднати, наприклад, кілька офісів організації у єдину
мережу з допомогою для зв'язок між ними непідконтрольних каналів.
За своєю суттю VPN має багатьма
властивостями виділеної лінії, проте розгортається вона у межах
загальнодоступною мережі, наприклад Інтернету. З допомогою методики тунелювання
пакети даних транслюються через загальнодоступну мережу як у звичайному двухточечному
з'єднанню. Між кожної парою «відправник–отримувач даних» встановлюється
своєрідний тунель – безпечне логічне з'єднання, що дозволяє інкапсулювати дані
одного протоколу в пакети іншого. Основними компонентами тунелю є: ініціатор,
маршрутизатор мережи, тунельний комутатор, чи кілька тунельних термінаторів.
Сам собою принцип роботи VPN який
суперечить основним мережним технологіям і протоколів. Наприклад, під час
встановлення сполуки віддаленого доступу клієнт посилає серверу потік пакетів
стандартного протоколу PPP. Що стосується організації віртуальних виділених
ліній між локальними мережами їх маршрутизатори також обмінюються пакетами PPP.
Проте, принципово новим моментом є пересилання пакетів через безпечний тунель,
організований не більше загальнодоступною мережі. Тунелювання дозволяє
організувати передачу пакетів одного протоколу у логічній середовищі,
використовує інший протокол. У результаті виникають можливість вирішити
проблеми взаємодії кількох різнотипних мереж, починаючи з необхідність
забезпечення цілісності і конфіденційності переданих даних, і закінчуючи
подоланням невідповідностей зовнішніх протоколів чи схем адресації.
Існуюча мережна інфраструктура
корпорації то, можливо підготовлено до використанню VPN як за допомогою
програмного, і з допомогою апаратного забезпечення. Організацію віртуальної
приватної мережі можна порівняти з прокладанням кабелю через глобальну мережу.
Зазвичай, безпосереднє з'єднання між віддаленим користувачем і конечним
пристроєм тунелю встановлюється за протоколом PPP.
Найпоширеніший метод створення
тунелів VPN – інкапсуляція мережевих протоколів (IP,IPX,AppleTalk тощо.) вPPP й
подальша інкапсуляція освічених пакетів до протоколу тунелювання. Зазвичай, у
ролі останнього виступає IP чи (набагато рідше) ATM іFrameRelay. Такий їхній
підхід називаєтьсятуннелированием другого рівня, оскільки «пасажиром» тут є
протокол саме другого рівня.
Альтернативний підхід –
інкапсуляція пакетів мережного протоколу у протокол тунелювання (наприклад,VTP)
називається тунелюванням третього рівня. Незалежно від цього, які протоколи
використовуються чи що переслідуються з організацією тунелю, основна методика
залишається практично незмінною. Зазвичай один протокол використовується задля
встановлення з'єднання з віддаленим вузлом, а інший – для інкапсуляции даних, і
службової інформації з передачі через тунель.
Мережі VPN будуються з допомогою
протоколів тунелювання даних через мережу зв'язку загального користування
Інтернет, причому протоколи тунелювання забезпечують шифрування даних, і
здійснюють їх наскрізну передачу між користувачами. Зазвичай, нині для побудови
мереж VPN використовуються протоколи наступних рівнів: Канальний рівень, мережний
рівень, транспортний рівень.
. Нині
найпоширенішим протоколом VPN є протокол двухточечной тунельного зв'язку чи Point-to-Point
Tunnelling Protocol –PPTP. Розроблено він компаніями 3Com і Microsoft для
надання безпечного віддаленого доступу до корпоративним мереж через Інтернет. PPTP
використовує існуючі відкриті стандарти TCP/IP та значною мірою потрібно було
на застарілий протокол двухточечной зв'язку РРР. Насправді РРР продовжує
залишатися комунікаційним протоколом сеансу сполуки РРТР. РРТР створює тунель
через мережу до NT-серверу одержувача і передає у ній РРР-пакети віддаленого
користувача. Сервер і робоча станція використовують віртуальну приватну мережу
і звертають уваги то, наскільки безпечної чи доступною є глобальна мережу
з-поміж них. Завершення сеансу сполуки з ініціативи серверу, на відміну
спеціалізованих серверів віддаленого доступу, дозволяє адміністраторам
локальної мережі зупиняти віддалених користувачів межі системи безпеки
WindowsNTServer.
Хоча компетенція протоколу РРТР
поширюється лише з устрою, працюючі під керівництвом Windows, він надає
компаніям можливість взаємодіяти з мережними інфраструктурами і завдавати шкоди
власної системі безпеки. Отже, віддалений користувач може підключитися до
Інтернету з допомогою місцевого провайдера по аналогової телефонній лінії чи
каналу ISDN і час виявляють з'єднання з сервером NT. У цьому компанії годі й
говорити витрачати великі суми на організацію та влитися обслуговування пулу
модемів, який надає послуги віддаленого доступу.
У першому етапі
аутентифікації клієнтів - і серверів VPN,L2TP поверх IPSec використовує
локальні сертифікати, одержані від служби сертифікації. Клієнт і сервер
обмінюються сертифікатами і аналітиків створюють захищене з'єднання ESP SA (securityassociation).
КолиL2TP (поверх IPSec) завершує процес аутентифікації комп'ютера, виконується
аутентифікація лише на рівні користувача. Для аутентифікації можна задіяти
будь-який протокол, навіть PAP, передавальний ім'я користувача і пароль у
вигляді. Це дуже безпечно, оскількиL2TP поверх IPSec шифрує всю сесію. Проте
проведення аутентифікації користувача з допомогою MSCHAP, використовує різні
ключі шифрування для аутентифікації комп'ютера та користувача, може посилити
захист.
Реалізація
віртуальної приватної мережі практично виглядає так. У локальної обчислювальної
мережі офісу фірми встановлюється сервер VPN. Віддалений користувач (чи
маршрутизатор, якщо здійснюється поєднання двох офісів) з допомогою
клієнтського програмного забезпечення VPN ініціює процедуру з'єднання з
сервером. Відбувається аутентификация користувача – перша фаза встановлення
VPN-підключення. У разі підтвердження повноважень настає друга фаза – між
клієнтом і сервером виконується узгодження деталей забезпечення безпеки
сполуки. Після цього організується VPN-підключення, що забезпечує обміну інформацією
між клієнтом і сервером у вигляді, коли кожний пакет з цими проходить через
процедури шифрування / дешифрування та цілісності – аутентифікації даних.
Основною проблемою
мереж VPN є усталених стандартів аутентифікації та обміну шифрованою інформацією.
Ці стандарти усе ще перебувають у процесі розробки та тому продукти різних
виробників що неспроможні встановлювати VPN-підключення і автоматично
обмінюватися ключами. Ця проблема тягне у себе уповільнення поширення VPN,
оскільки важко змусити різні компанії користуватися продукцією одного
виробника, тому утруднений процес об'єднання мереж компаній-партнерів в, звані,
extranet-мережі.
Недолік технології
VPN у цьому, що державні кошти побудови VPN є повноцінними засобами виявлення й
блокування атак. Вони можуть допустити ряд несанкціонованих дій, проте в усіх
можливості, які можуть використовуватися в просуванні в корпоративну мережу.
Але, попри всі це технологія VPN має перспектив щодо розвиток.
Чого ж очікується
стосовно розвитку технологій VPN у майбутньому? Без всяким сумнівом, буде
розроблено і затверджений єдиний стандарт побудови подібних мереж.
Найімовірніше, основою цього стандарту буде, вже зарекомендував себе протокол IPSec.
Далі, виробники сконцентруються на підвищенні продуктивності своїх продуктів і
створенні зручних коштів управління VPN. Найімовірніше, розвиток засобів
побудови VPN йтиме у напрямі VPN з урахуванням маршрутизаторів, бо це рішення
поєднує у собі достатньо високу продуктивність, інтеграцію VPN і маршрутизації
щодо одного устрої. Проте розвиватимуться і недорогі рішення невеликих
організацій. На закінчення, як і раніше, що, як і раніше, що технологія VPN ще
молода, її чекає велике майбутнє.
Використана
література:
1.Лукацкий А. Невідома VPN /
Комп'ютерПресс.-М.: №10, 2001;abn/inf/compress/network4.shtml
2.Норманн Р. Вибираємо протокол VPN
/Windows IT Pro. – М.: №7, 200;
>osp/win2000/2001/07/010.htm
3. Петренко З. Захищена віртуальна приватна
мережу: сучасний погляд право на захист конфіденційних даних / Світ Internet. –
М.: №2, 2001;
4.Салливан До. Прогрес технології
VPN.PCWEEK/RE, – М.: №2, 1999;
5.Файльнер М. Віртуальні приватні мережі
нової генерації LAN/Журнал мережевих рішень, – М.: №11, 2005;
6.Фратто М. Секрети віртуальних приватних
мереж. Мережі і системи зв'язку, №3, 1998;
7.Штайнке З. VPN між локальними мережами.
LAN/Журнал мережевих рішень, – М.: №10,1998;