Виртуальные частные сети

 

Содержание

 

 

 

 

 

 

 

 

 

 

 

 

 

ВВЕДЕНИЕ

 

Virtual Private Network(VPN) на русский язык можно перевести как Виртуальная Частная Сеть. Этим термином обозначается технология, позволяющая использовать инфраструктуру сетей общего пользования для создания частных сетей, приватность которых обеспечивается при помощи протоколов туннелирования и процедур обеспечения секретности. Прежде чем продолжать описание этой технологии, хочу сразу пояснить почему она появилась и где используется.

До создания VPN, если, например, какая-то организация, будь то государственное  учреждение или представитель бизнеса, хотела передавать данные между своими подразделениями в разных городах и при этом обеспечить их конфиденциальность, не было другого выхода, кроме как взять в аренду у телефонной компании выделенную линию. Очевидно, что стоило это не малых денег. С появлением VPN все координально изменилось - теперь появилась возможность передавать важную информацию по сетям общего пользования практически так же безопасно, как и по выделенной линии, но за гораздо меньшие деньги. (Справедливости ради, стоит отметить, что многие эксперты по безопасности все же считают, что выделенная линия и по сей день остается наиболее надежным способом передачи конфиденциальной информации.)

Второй пример практически  невозможно реализовать средствами, не использующими VPN-технологии. Представьте  себе, что ввиду особенностей вашего бизнеса, вы вынуждены часто ездить в командировки по всему миру. Представим что ваша задача – заключение договоров на поставку какого -либо оборудования в кротчайшие сроки, и вам просто необходимо в реальном времени отслеживать наличие товаров на ваших складах. Как это сделать? Конечно можно посадить несколько человек на телефон и постоянно звонить им, но, во-первых, это небезопасный способ - ваши конкуренты будут в курсе всех ваших поставок, а, во-вторых, это достаточно дорого. Но есть способ лучше,  практически в любой стране не сложно найти интернет. Вы можете подключиться к интернету и с помощью VPN зайти на ваш сервер базы данных, на котором хранится вся информация о товарах на складах.

Как вы видите, преимущество VPN очевидны, и потому не удивительно, что в последнее время эти технологии получают все больше распространение.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ГЛАВА 1. VPN – Виртуальные частные  сети

 

Любая организация, будь она производственной, торговой, финансовой компании или государственным учреждением, обязательно сталкивается с вопросом передачи информации между своими филиалами, а также с вопросом защиты этой информации. Не каждая фирма может себе позволить иметь собственные физические каналы доступа, и здесь помогает технология VPN, на основе которой и соединяются все подразделения и филиалы, что обеспечивает достаточную гибкость и одновременно высокую безопасность сети, а также существенную экономию затрат.

Виртуальная частная  сеть (VPN - Virtual Private Network) создается на базе общедоступной сети Интернет. И если связь через Интернет имеет свои недостатки, главным из которых является то, что она подвержена потенциальным нарушениям защиты и конфиденциальности, то VPN могут гарантировать, что направляемый через Интернет трафик так же защищен, как и передача внутри локальной сети. В тоже время виртуальные сети обеспечивают существенную экономию затрат по сравнению с содержанием собственной сети глобального масштаба.

1.1 Разные типы VPN.

 

VPN подразделяют на  три группы : trusted(доверенные) VPNs, secure

(безопасные) VPNs, hybrid(гибридные) VPNs.

Когда Интернет еще не был таким большим и универсальным, многие

компании брали в  аренду у провайдера часть его  сети. Провайдер же

предоставлял клиентам возможность  использовать часть своей сети

так, как если бы она полностью принадлежала клиенту: копания применяла свою политику безопасности, использовала свои IP-адреса и т.д. (хотя достаточно часто провайдеры предоставляли клиентам помощь в организации всего этого). И хотя сданные в аренду разным компаниям сети могли использовать одно и то же сетевое оборудование (например, коммутаторы), провайдер гарантировал, что его клиенты не имеют доступ к сетям друг друга. Очевидно, что такие сети строились при полном доверии к провайдеру, отсюда и их название.

С течением времени, Интернет завоевывал все большую популярность у корпоративных пользователей. И, учитывая, что trusted VPN не обеспечивает настоящей конфиденциальности данных производители начали создавать протоколы, которые позволяют шифровать данные на "краю" локальной сети и на удаленном узле, создавая таким образом так называемый "туннель" между локальной сетью и удаленным узлом (или другой сетью). Учитывая то, что весь трафик шифруется, даже если злоумышленник сможет перехватить данные, он не сможет их прочесть, и если он попробует изменить данные - об это станет сразу же известно принимающей стороне. Таким образом осуществляется действительно защищенное соединение. Все VPN, использующие шифрование, называются secure VPN. Очевидно, что trusted VPN и secure VPN можно использовать одновременно, такие сети называются hybrid VPN.

 

1.2 Принцип работы технологии VPN

 

 

VPN-устройство располагается  между внутренней сетью и Интернет  на каждом конце соединения. Когда  данные передаются через VPN, они исчезают «с поверхности» в точке отправки и вновь появляются только в точке назначения. Этот процесс принято называть «туннелированием». Это означает создание логического туннеля в сети Интернет, который соединяет две крайние точки. Благодаря туннелированию частная информация становится невидимой для других пользователей Интернета. Прежде чем попасть в интернет-туннель, данные шифруются, что обеспечивает их дополнительную защиту. Протоколы шифрования бывают разные. Все зависит от того, какой протокол туннелирования поддерживается тем или иным VPN-решением. Еще одной важной характеристикой VPN-решений является диапазон поддерживаемых протоколов аутентификации. Большинство популярных продуктов работают со стандартами, основанными на использовании открытого ключа, такими как X.509. Это означает, что, усилив свою виртуальную частную сеть соответствующим протоколом аутентификации, вы сможете гарантировать, что доступ к вашим защищенным туннелям получат только известные вам люди.

 

Рисунок 1. Принцип работы технологии VPN

1.3 Общее описание технологии VPN

 

Сегодня технология VPN (Virtual Private Network - виртуальная частная сеть) завоевала всеобщее признание и  любой администратор считает  своим долгом организовать VPN-каналы для сотрудников, работающих вне  офиса (рисунок 2).

Рисунок 2. VPN для удаленных  пользователей

 

VPN (рисунок 3) представляет  собой объединение отдельных  машин или локальных сетей  в виртуальной сети, которая обеспечивает  целостность и безопасность передаваемых  данных. Она обладает свойствами выделенной частной сети и позволяет передавать данные между двумя компьютерами через промежуточную сеть (internetwork), например Internet.

VPN отличается рядом  экономических преимуществ по  сравнению с другими методами  удаленного доступа. Во-первых, пользователи могут обращаться к корпоративной сети, не устанавливая c ней коммутируемое соединение, таким образом, отпадает надобность в использовании модемов. Во-вторых, можно обойтись без выделенных линий.

 

Рисунок 3. VPN для двух офисных сетей

Имея доступ в Интернет, любой пользователь может без проблем подключиться к сети офиса своей фирмы. Следует заметить, что общедоступность данных совсем не означает их незащищенность. Система безопасности VPN - это броня, которая защищает всю корпоративную информацию от несанкционированного доступа. Прежде всего, информация передается в зашифрованном виде. Прочитать полученные данные может лишь обладатель ключа к шифру. Наиболее часто используемым алгоритмом кодирования является Triple DES, который обеспечивает тройное шифрование (168 разрядов) с использованием трех разных ключей.

Подтверждение подлинности  включает в себя проверку целостности  данных и идентификацию пользователей, задействованных в VPN. Первая гарантирует, что данные дошли до адресата именно в том виде, в каком были посланы. Самые популярные алгоритмы проверки целостности данных - MD5 и SHA1. Далее система проверяет, не были ли изменены данные во время движения по сетям, по ошибке или злонамеренно. Таким образом, построение VPN предполагает создание защищенных от постороннего доступа туннелей между несколькими локальными сетями или удаленными пользователями.

Для построения VPN необходимо иметь на обоих концах линии связи  программы шифрования исходящего и  дешифрования входящего трафиков. Они  могут работать как на специализированных аппаратных устройствах, так и на ПК с такими операционными системами как Windows, Linux или NetWare.

Управление доступом, аутентификация и шифрование - важнейшие  элементы защищенного соединения.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ГЛАВА 2. ТЕХНОЛОГИИ ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ

2.1 Сети VPN на основе технологий ISDN, Frame Relay и ATМ

 

Виртуальные частные  сети, построенные на основе использования    коммутируемых и постоянных соединений ISDN, Frame Relay и ATM

кардинальным образом  отличаются от VPN, создаваемых на основе IP-туннелей. Этот тип VPN использует коммутируемые сети сервис-провайдеров для соединения удаленных площадок соединениями ISDN, Frame Relay и ATM. По этим соединениям могут передаваться потоки любых протоколов как с шифрацией, так без нее.

Рисунок 4. Сети VPN на основе технологий ISDN, Frame Relay и ATМ

Подобная архитектура, построенная на основе сетей общего пользования и поддерживаемая непосредственно сервис-провайдерами, обладает рядом недостатков: ограниченное территориальное покрытие таких сетей, т. е. в пределах развитой инфраструктуры коммутируемых сетей провайдеров услуг и неуправляемость VPN со стороны владельца частной сети, а также высокую стоимость использования таких соединений

 

 

 

 

2.2 Сети VPN на основе технологии IP-туннелей

 

В виртуальных частных  сетях, построенных с использованием технологии туннелирования, пакеты данных упаковываются (инкапсулируются) внутрь обыкновенных пакетов IP для пересылки по IP-ориентированным сетям. Инкапсулированные пакеты необязательно должны принадлежать протоколу IP, возможна упаковка пакетов самых различных протоколов: IPX, AppleTalk, SNA или DECnet. Передача пакетов производится в общем случае без шифрации, но в подавляющем количестве реализаций VPN, особенно при использовании Интернет как транспортной среды, шифрование и аутентификация являются необходимыми для обеспечения целостности передаваемых данных. 

Рисунок 5. Сети VPN на основе технологии IP-туннелей 

 

 

 

 

 

 

 

Глава 3. Технологии туннелирования

 

Туннелирование - это  метод использования сетевой  инфраструктуры для передачи данных из одной сети в другую через сеть с отличной от первых двух технологией передачи данных. Инкапсулированные пакеты свободно маршрутизируются на протяжении транспортного коридора между конечными точками логического тоннеля, логика и топология которого скрыта от участников передачи. Далее приводится наиболее часто применяемые и распространенные решения по туннелированию при создании виртуальных частных сетей. 

 

3.1 Протокол PPTP

 

Протокол РРТР (Point to Point Tunneling Protocol) является протоколом 2 уровня, инкапсулирующим в дейтаграммы IP пакеты PPP, и применяется для организации туннелей типа "пользователь - шлюз VPN" (удаленный доступ) и "шлюз VPN - шлюз VPN" (VPN Intranet). Протокол PPTP документирован в спецификации RFC 2637. 

Для поддержания туннеля  протокол PPTP использует соединение TCP и модифицированную версию протокола GRE (Generic Routing Encapsulation) для инкапсуляции кадров PPP. Содержимое инкапсулируемого пакета PPP может быть зашифровано и/или сжато при помощи

алгоритма шифрования RC4. 

Для аутентификации пользователей PPTP может задействовать любой  из протоколов, применяемых для PPP, включая Extensible Authentication Protocol (EAP), Microsoft Challenge Handshake Authentication Protocol (MS CHAP) версии 1 и 2, Challenge Handshake Authentication Protocol (CHAP), Shiva Password Authentication Protocol (SPAP) и Password Authentication Protocol (PAP). Лучшими считаются протоколы MSCHAP версии 2 и Transport Layer Security (EAP-TLS), поскольку они обеспечивают взаимную аутентификацию, т. е. VPN-сервер

и клиент идентифицируют друг друга. Во всех остальных протоколах только сервер проводит аутентификацию клиентов. 

Шифрование с помощью PPTP гарантирует, что никто не сможет получить доступ к данным при пересылке их через Интернет. Протокол шифрования MPPE (Microsoft Point-to-Point Encryption) совместим только с MS CHAP (версии 1 и 2) и EAP-TLS и умеет автоматически выбирать длину ключа шифрования при согласовании параметров между клиентом и сервером. В MPPE поддерживаются ключи длиной 40,

56 или 128 бит. 

PPTP изменяет значение  ключа шифрации после каждого  принятого пакета. Протокол MPPE разрабатывался для каналов связи точка-точка, в которых пакеты передаются последовательно, и потеря данных очень мала. В этой ситуации значение ключа для очередного пакета зависит от результатов дешифрации предыдущего пакета. При построении виртуальных сетей через сети общего доступа эти условия соблюдать невозможно, так как пакеты данных часто приходят к получателю не в той последовательности, в какой были отправлены. Поэтому PPTP использует для изменения ключа шифрования порядковые номера пакетов. Это позволяет выполнять дешифрацию независимо от предыдущих принятых пакетов. 

 

3.2 Протокол L2TP

 

Протокол L2TP (Layer 2 Tunneling Protocol) инкапсулирует пакеты PPP для дальнейшей пересылки, является комбинацией протоколов PPTP и L2F (Layer 2 Forwarding). L2TP применяет в качестве транспорта протокол UDP и использует одинаковый формат сообщений как для управления туннелем, так и для пересылки данных. В качестве контрольных сообщений служат пакеты UDP, содержащие шифрованные пакеты PPP. Надежность доставки гарантирует контроль последовательности пакетов. Сообщения L2TP имеют поля Next-Received и Next-Sent, которые выполняют те же функции, что и поля Acknowledgement Number и Sequence Number в протоколе TCP.