Садовой
А.В.
Национальный
горный университет
VPN - как средство создания единого информационного
пространства предприятия
Сегодня успешная коммерческая деятельность
предприятия во многом зависит от расположения производственных мощностей,
торговых точек, а также центров управления работой предприятия. В условиях,
когда расстояние между ними достигает десятков, а то и сотен километров,
построение сети прямого подключения не всегда возможно.
Выходом из такой ситуации, может быть использование
сети Интернет для соединения частей предприятия. Однако информационный обмен
через глобальную сеть повышает риск утраты/хищения данных, содержащих коммерческую
тайну. Передача таких данных по открытому каналу связи недопустима с точки
зрения информационной безопасности предприятия. Вследствие чего были
разработаны технологии, которые позволяют решить проблему передачи данных в
незащищённом виде по открытым каналам, они получили название виртуальные частные
сети — VPN «Virtual Private Network». Для участников информационного обмена, использующих
технологию VPN, работа в виртуальной
сети выглядит как в обычной частной локальной сети.
VPN базируется
на трёх основных положениях:
·
туннелирование;
·
шифрование;
·
аутентификация;
Передача данных между двумя точками осуществляется
пи помощи туннелирования, при этом вся сетевая инфраструктура для источника и приёмника
данных является скрытой. Построения туннеля, между сетевыми узлами, достаточно
для того, чтобы осуществлять передач данных, что с точки зрения программного
обеспечения выглядят, как работа в
одной локальной сети. Проблема использования туннелирования в «чистом» виде
заключается в том, что информация, которая передаётся через туннель, может быть
перехвачена злоумышленником, а также возможна модификация передаваемых данных таким
образом, что получатель не сможет проверить их достоверность. Данная проблема
решается путём использования современных средств криптографической защиты
информации, а именно электронной цифровой подписи (ЭЦП).
Использование ЭЦП, для подписания пакетов с
данными, позволяет воспрепятствовать внесению несанкционированных изменений.
При этом к каждому передаваемому пакету данных добавляется дополнительный блок
информации. Этот блок вырабатывается в соответствии с асимметричным крипто алгоритмом
и является уникальным для содержимого передаваемого пакета и секретного ключа
ЭЦП отправителя. Данный блок информации, добавленный к пакету данных, позволяет
получателю, которому известен открытый ключ ЭЦП отправителя, произвести процедуру
аутентификацию. Защита передаваемых данных по туннелю, достигается путём
использования стойких алгоритмов шифрования, таких как RSA.
Связка «туннелирование + шифрование +
аутентификация» позволяет обеспечить хорошую защиту передаваемых данных между
двумя точками через сеть общего пользования, моделируя при этом работу
защищённой локальной сети. Одной из возможностей VPN является использование
стандартной системы адресации, принятой в локальных сетях.
На практике построение виртуальной частной сети выглядит
следующим образом. Сервер VPN устанавливается и настраивается в локальной
вычислительной сети предприятия, к которой и будет производиться подключение удалённого
пользователя. С использованием VPN-клиента, удалённый пользователь осуществляет
процедуру соединения с сервером. Далее происходит процедура аутентификация данного
пользователя. В случае успешного завершения данной процедуры между клиентом и
сервером выполняется настройка безопасности соединения. После этого осуществляется
VPN-соединение, которое обеспечивает обмен данными между удалённым
пользователем и сервером. Каждый пакет с данными, перед передачей, проходит через
процедуры подписания и шифрования. На приёмной стороне осуществляется
дешифрование и проверка целостности принятых данных.
Совместимость различных реализаций VPN, осуществляется
с использованием разработанных стандартов, к которым относятся наиболее
распространенные протоколы PPTP и L2TP. Данные стандарты обеспечивают схожий уровень
функциональности, однако поскольку L2TP использует протокол UDP для организации
туннеля, он может работать через сети ATM (Asynchroneus Transfer Mode), Frame
Relay и X.25. Протокол L2TP обеспечивает более высокую защищенность соединения
за счет использования протокола обеспечения безопасности IPSec.
Средства позволяющие организовать VPN-сети,
разделяются на аппаратные и программные. Выбор в пользу того или иного решения
следует делать исходя из конкретных условий задачи – размера сети, объема
трафика, необходимого уровня конфиденциальности и пр.
Аппаратные средства создания защищённого соединения,
являются комплексными решениями. Они облегчают интеграцию удалённых устройств
через VPN-соединение в локальную сеть предприятия и повышают уровень безопасности.
Крупному предприятию в случае необходимости обеспечения защищённого соединения
нескольких точек (по схеме route-to-route) лучше всего использовать аппаратные
средства фирмы Cisco как наиболее мощный и гибкий вариант. Развивающемуся
малому предприятию с одним – двумя региональными представительствами могут
подойти маршрутизаторы производства ZyXEL или D-Link. Данные решение
существенно дешевле, и проще в
настройке. Они более лояльны к профессиональному уровню системных
администраторов, чем маршрутизаторы фирмы Cisco, которые требуют более высоких
знаний настройки VPN сервераа. Конфигурирование аппаратных VPN-серверов
выполняется через веб-интерфейс, а так же с использованием протокола Telnet
(для маршрутизаторов фирмы ZyXEL), это дает возможность
осуществлять тонкую настройку VPN сервера и соединений с ним.
Программные средства реализации VPN-соединения
гораздо дешевле аппаратных, но более сложны в настройке серверной части. Большинство
современных операционных систем имеют встроенную поддержку VPN-соединения,
которое осуществляется по протоколам PPTP или L2TP. Это позволяет уменьшить
затраты на организацию удаленных
рабочих мест сотрудникам. Виртуальная частная сеть с высоким уровнем
безопасности также может быть реализована с использованием прикладных программ:
OpenVPN, Kerio WinRoute Firewall, Hamachi и др. Они имеют более гибкую настройку,
чем средства входящие в состав операционных систем, что позволяет подстроиться
под конкретную ситуацию.
Таким образом, использование VPN позволяет решать задачи создания безопасного соединения с удалёнными
участками корпоративной сети, с минимальными затратами.
Литература:
1.
Грайворонський М.В.,
Новiков О.М. Безпека iнформацiйно-комунiкацiйних систем. – К.: Видавнича группа BHV,
2009. – 608 c.: iл
2.
Стивен Браун
Виртуальные частные сети. Лори, McGraw-Hill Companies, 2001 г. - 508 стр.
3.
http://www.citforum.ru/nets/articles/razvvpn.shtml