- Концепція побудови віртуальних захищених мереж VPN
- Основні поняття і функції мережі VPN
- Варіанти створення віртуальних захищених каналів
- Методи реалізації безпеки VPN
- VPN-рішення для створення захищених мереж
- Класифікація VPN з архітектури технічного рішення
- Класифікація VPN за методом технічної реалізації
Завдання реалізація корпоративної мережі компанії в рамках однієї будівлі може бути вирішена відносно легко. Однак на сьогодні інфраструктура компаній має географічно розподілені відділи самої компанії. Реалізація захищеної корпоративної мережі в такому випадку завдання більш складного плану. У таких випадках найчастіше використовують безпечні vpn сервера .
Концепція побудови віртуальних захищених мереж VPN
У концепції створення віртуальних мереж VPN лежить проста ідея - якщо в глобальній мережі є 2 вузла, яким потрібно обмінятися даними, то між ними потрібно створити віртуальний захищений тунель для реалізації цілісності і конфіденційності даних, що передають через відкриті мережі.
Основні поняття і функції мережі VPN
При наявності зв'язку між корпоративної локальної мережею і мережею Інтернет виникають загрози інформаційної безпеки двох типів:
- несанкціонований доступ до ресурсів локальної мережі через вхід
- несанкціонований доступ до інформації при передачі через відкриту мережу Інтернет
Захист даних при передачі по відкритих каналах заснована на реалізації віртуальних захищених мереж VPN. Віртуальної захищеної мережею VPN називають з'єднання локальні мереж і окремих ПК через відкриту мережу в єдину віртуальну корпоративну мережу. Мережа VPN дозволяє за допомогою тунелів VPN створювати з'єднання між офісами, філіями і віддаленими користувачами, при цьому безпечно транспортувати дані (рис.1).
Малюнок 1
Тунель VPN являє собою з'єднання, що проходить через відкриту мережу, де транспортуються криптографически захищені пакети даних. Захист даних при передачі по тунелю VPN реалізована на таких завданнях:
- криптографічне шифрування транспортуються даних
- аутентифікація користувачів віртуальної мережі
- перевірка цілісності і автентичності переданих даних
VPN-клієнт являє собою програмний або апаратний комплекс, що працює на основі персонального комп'ютера. Його мережеве ПО змінюється для реалізації шифрування і аутентифікації трафіку.
VPN-сервер - також може бути програмним або апаратним комплексом, який реалізує функції сервера. Він реалізує захист серверів від несанкціонованого доступу з інших мереж, а також організацію віртуальної мережі між клієнтами, серверами і шлюзами.
Шлюз безпеки VPN - мережеве пристрій, що підключається до 2 мереж і реалізує функції аутентифікації і шифрування для безлічі хостів, що знаходяться за ним.
Суть тунелювання полягає в тому, щоб инкапсулировать (упакувати) дані в новий пакет. Пакет протоколу нижчого рівня поміщається в поле даних пакета протоколу більш високого або такого ж рівня (рис.2). Сам процес інкапсуляції не захищає від перекручування або несанкціонованого доступу, він дозволяє захистити конфіденційність інкапсульованих даних.
Малюнок - 2
При прибутті пакету в кінцеву точку віртуального каналу з нього витягується внутрішній вихідних пакет, розшифровують і використовують далі по внутрішній мережі (рис.3).
Малюнок - 3
Також інкапсуляція вирішує проблему конфлікту двох адрес між локальними мережами.
Варіанти створення віртуальних захищених каналів
При створенні VPN є два популярних способу (рис.4):
- віртуальних захищений канал між локальними мережами (канал ЛВС-ЛВС)
- віртуальний захищених канал між локальною мережею і вузлом (канал клієнт-ЛВС)
Малюнок - 4
Перший метод з'єднання дозволяє замінити дорогі виділені канали між окремими вузлами і створити постійно працюють захищені канали між ними. Тут шлюз безпеки служить інтерфейсом між локальною мережею і тунелем. Багато підприємств реалізують такий вид VPN для заміни або доповнення до Frame Relay .
Друга схема потрібна для з'єднання з мобільними або віддаленими користувачами. Створення тунелю ініціює клієнт.
З точки зору інформаційної безпеки найкращим варіантом є захищений тунель між кінцевими точками з'єднання. Однак такий варіант веде до децентралізації управління і надмірності ресурсів, бо потрібно ставити VPN на кожному комп'ютері мережі. Якщо всередині локальної мережі, яка входить в віртуальну, не вимагає захисту трафіку, тоді як кінцевої точки з боку локальної мережі може виступати міжмережевий екран або маршрутизатор цієї ж мережі.
Методи реалізації безпеки VPN
При створенні захищеної віртуальної мережі VPN на увазі, що передана інформація буде мати критерії, що захищається, а саме: конфіденційність, цілісність, доступність. Конфіденційність досягається за допомогою методів асиметричного і симетричного шифрування. Цілісність транспортуються даних досягається за допомогою електронно-цифрового підпису . Аутентифікація досягається за допомогою одноразових / багаторазових паролів, сертифікатів, смарт-карт, протоколів суворої аутентифікації .
Для реалізації безпеки транспортується інформації в віртуальних захищених мережах, потрібно вирішити наступні завдання мережевої безпеки:
- взаємна аутентифікація користувачів при з'єднанні
- реалізація конфіденційності, автентичності та цілісності транспортуються даних
- управління доступом
- безпеку периметра мережі і виявлення вторгнень
- управління безпекою мережі
VPN-рішення для створення захищених мереж
Класифікація мереж VPN
На основі глобальної мережі Інтернет можна реалізовувати майже всі види трафіку. Є різні схеми класифікації VPN. Найпоширеніша схема має 3 ознаки класифікації:
- робочий рівень моделі OSI
- архітектура технічного рішення VPN
- метод технічної реалізації VPN
Захищений канал - канал між двома вузлами мережі, уздовж певного віртуального шляху. Такий канал можна створити за допомогою системних методів, заснованих на різних рівнях моделі OSI (рис.5).
Малюнок - 5
Можна помітити, що VPN створюються на досить низьких рівнях. Причина така, що чим нижче в стеці реалізовані методи захищеного каналу, тим простіше їх реалізувати прозорими для додатків. На канальному і мережевому рівнях залежність додатків від протоколів захисту зникає. Якщо для захисту інформації реалізований протокол з верхніх рівнів, то спосіб захисту не залежить від технології мережі, що можна вважати плюсом. Однак додаток стає залежним від конкретного протоколу захисту.
VPN канального рівня. Методи на такому рівня дозволяють инкапсулировать трафік третього рівня (і більш високих) і створювати віртуальні тунелі типу точка-точка. До таких відносять VPN-продукти на основі протоколу L2F, PPTP, L2TP .
VPN мережевого рівня. VPN-продукти такого рівня реалізують инкапсуляцию IP в IP. Наприклад використовують протокол ipsec .
VPN сеансового рівня. Деякі VPN реалізують підхід «посередники каналів», такий метод працює над транспортним рівнем і ретранслює трафік з захищеної мережі в загальнодоступних мережу Інтернет для кожного сокета окремо.
Класифікація VPN з архітектури технічного рішення
Ділять на:
- внутрішньокорпоративні VPN - потрібні для реалізації захищеної роботи між відділами всередині компанії
- VPN з віддаленим доступом - потрібні для реалізації захищеного віддаленого доступу до корпоративних інформаційних ресурсів
- міжкорпоративні VPN - потрібні між окремими частинами бізнесу рознесених географічно
Класифікація VPN за методом технічної реалізації
Ділять на:
- VPN на основі маршрутизаторів - завдання захисту падають на пристрій маршрутизатора
- VPN на основі міжмережевих екранів - завдання захисту падають на пристрій брандмауера
- VPN на основі програмних рішень - застосовується ПО, яке виграє в гнучкості і налаштування, проте програє в пропускної здатності
- VPN на основі спеціальних апаратних пристроях - пристрої, де шифрування реалізовано спеціальними окремими мікросхемами, реалізують високу продуктивність за великі гроші