Виртуальные частные сети

Вишневский А.В. Сетевые технологии Win2000. стр.389

В настоящее время особую актуальность приобретает вопрос обеспечения без­опасного взаимодействия двух хостов, которые соединяются друг с другом посредством различного рода открытых сетей. В качестве наиболее распростра­ненного примера можно привести пример взаимодействия двух хостов, подклю­ченных к Интернету. Интернет является общедоступной сетью. Это означает, что пакеты данных, которыми обмениваются участники взаимодействия, могут быть легко перехвачены злоумышленниками и нет никакой возможности воспрепят­ствовать этому. Поэтому особое внимание должно уделяться не защите линий ■ коммуникаций, а защите данных, передаваемых по этим линиям.

Разумеется, возможно организовать взаимодействие двух хостов напрямую через модемное соединение. Однако такой способ имеет определенные недостат­ки. Может требоваться одновременная работа с несколькими подобными хостами. В этом случае для каждого соединения требуется отдельная телефонная линия, Кроме того, если хосты располагаются на большом расстоянии друг от друга, сто­имость такого решения может оказаться чрезмерно велика.

Гораздо более разумным представляется создание виртуальной частной сети (Virtual Private Network, VPN). В этом случае процесс взаимодействия двух хос­тов представляет собой эмуляцию точечного соединения (point-to-point connec­tion). Механизм виртуальных частных сетей позволяет осуществлять безопасное и надежное взаимодействие с множеством удаленных пользователей при мини­мальных затратах.

Структура виртуальных частных сетей

Под виртуальной частной сетью понимается точечное взаимодействие двух "хос­тов посредством использования открытых общедоступных сетей, подобных Ин­тернету (рис. .1). Хост, который инициирует процесс установки виртуального частного соединения, принято называть клиентом VPN. Хост, с которым уста­навливается соединение, цринято называть сервером VPN. Сеть общего доступа, через которую осуществляется взаимодействие двух хостов, называется магист­ралью виртуальной частной сети (transit internetwork). В принципе в качестве магистрали VPN может использоваться любая открытая сеть. Тем не менее наибо­лее часто для организации виртуальных частных сетей используют глобальную сеть Интернет. Это связано, в первую очередь, с доступностью и распростра­ненностью этой сети. О масштабах этой сети говорит тот факт, что в настоящее время пользователь может получить доступ к ней практически из любой точки планеты. Кроме того, нельзя недооценивать возможности применения виртуаль­ных частных сетей и внутри крупных корпоративных сетей. Использование вир­туальной частной сети позволяет решить проблему безопасного и надежного со­единения двух подсетей.

Соединение VPN

Рис.1 Виртуальная частная сеть

Виртуальная частная сеть может применяться для организации взаимодей­ствия хостов, использующих ряд наиболее популярных стеков протоколов (TCP/ IP, IPX/SPX и NetBEUI). Весь трафик между двумя хостами инкапсулируется в специальные пакеты, заголовки которых содержат всю необходимую для марш­рутизации в глобальной сети информацию. Процесс инкапсуляции пакетов осу­ществляется путем организации туннеля. Протоколы, посредством которых ор­ганизуется процесс передачи пакетов через туннель виртуальной частной сети, принято называть протоколами туннелирования. При этом в начале туннеля па­кеты данных одного из поддерживаемых сетевых протоколов (TCP/IP, IPX/SPX и NetBEUI) инкапсулируются в специальные пакеты, которые передаются по туннелю в точку назначения. В этой точке пакеты данных извлекаются и переда­ются соответствующему хосту. Фактически хосты устанавливают друг с другом соединение, которое может рассматриваться как выделенная линия, которая ре­ализуется независимо от инфраструктуры открытой сети (не имеет значение, сколько именно маршрутизаторов разделяют два хоста и каким именно маршрутом передаются пакеты). Это соединение принято называть соединением вирту­альной частной сети (VPN connection).

Поскольку взаимодействие осуществляется через общедоступную сеть, оче­видно, что прежде, чем виртуальное частное соединение будет установлено, каж­дый из его участников должен быть предварительно аутентифицирован. При этом используется механизмы аутентификации, аналогичные тем, что используются для организации удаленного доступа пользователей.

Необходимо понимать, что туннелирование само по себе не решает задачи обеспечения безопасности передаваемых данных. Зачастую процесс туннелирова-ния пакетов данных сравнивают с процессом пересылки писем по почт Письмо '^«инкапсулируется* в конверт, который используется для маршрутизации письма. Тем не менее при перехвате конверта не представляет особого труда извлечь из него письмо и ознакомиться с его содержимым. Аналогичным образом можно поступить и с содержимым пакетов₁_пересылаемых по туннелю. Специальные пакеты, применяемые при туннелировании,_предназначены.всего лишь для_маршрутизации данных в точку назначения. Именно поэтому соединение виртуаль­ной частной сети должно предусматривать механизмы шифрования данных с целью обеспечения их безопасности в процессе туннелирования. Поскольку любой шифр может быть со временем взломан, необходимо предусмотреть воз­можность периодического изменения ключа, применяемого для шифрования пе­редаваемых данных. Кроме того, в целях обеспечения надежности передаваемых данных в каждый пакет включается информация, позволяющая определить его целостность и уникальность.

Методы организации виртуальной частной сети

Виртуальная частная сеть представляет собой точечное соединение двух компо­нентов сети через другую сеть. При этом существуют два метода организации взаимодействия участников соединения:

1. соединение с удаленными пользователями (Remote Access VPN Connection);

2. соединение маршрутизаторов (Router-to-Router VPN Connection).

Соединение с удаленным пользователем

Этот метод очень сильно напоминает удаленный доступ к системе (рис. 2). Пользователь устанавливает соединение с сервером VPN, получая при этом до­ступ к ресурсам сети в пределах прав, определенных для него в соответствующей политике удаленного доступа. При данном способе организации взаимодействия, возможность работать с ресурсами удаленной сети получает исключительно кли­ент VPN. Другие компьютеры, физически подключенные к клиенту VPN, не мо­гут осуществлять взаимодействие с удаленной локальной сетью. Тем не менее сервер VPN может обслуживать множество клиентов VPN.

Этот компьютер не может взаимодействовать с удаленной сетью

Рис. 13.2. Соединение с удаленным пользователем

Программное обеспечение клиента VPN получает от протоколов верхнего ровня пакеты данных, инкапсулирует их в формат, необходимый для передачи

0 туннелю, и передает их серверу VPN, расположенному на другом конце тун- еля. Тот в свою очередь выполняет обратное преобразование, извлекая пакеты данных и передавая их протоколам верхних уровней для дальнейшей доставки в точку назначения.

Имеются два способа построения виртуальной частной сети в зависимости от

того, какая сеть выбрана в качестве магистрали VPN:

1. Организация виртуальной частной сети через Интернет. Для того чтобы получить доступ к ресурсам удаленной сети, пользователь должен установить соединение с сервером VPN. Для установки соединения используется глобаль­ная сеть Интернет. Фактически данный метод организации виртуальной част­ной сети во многом аналогичен механизму удаленного доступа. Однако ис­пользование Интернета для подключения к локальной сети во многих случаях более предпочтительно, чем использование телефонных линий. В настоящее время стоимость работы в Интернете во много раз ниже стоимости исполь­зования междугородных (а тем более, международных) телефонных линий. Кроме того, для обслуживания множества клиентов сервер удаленного дос­тупа должен иметь несколько телефонных линий. В случае использования виртуальных частных сетей для обслуживания клиентов может использовать­ся единственное подключение сервера VPN к Интернету.

2. Организация виртуальной частной сети в корпоративной сети. К данному методу построения виртуальной сети прибегают достаточно редко. Чаще все­го в корпоративных сетях реализуется другая модель взаимодействия. Тем не менее применение этого метода позволяет обеспечить надежный и безопасный доступ некоторых компьютеров к ресурсам локальной сети. Допустим, в це­лях обеспечения безопасности вы выделяете все компьютеры бухгалтерии в отдельную подсеть. При этом необходимо обеспечить конфиденциальность всех ресурсов, имеющихся в данной подсети. Это означает, что доступ к этой подсети должны получать исключительно авторизованные пользователи. На­пример, работник отдела кадров, чей компьютер находится в другой подсети. В этой ситуации можно реализовать следующую структуру. В качестве марш­рутизатора между подсетью бухгалтерии и остальной корпоративной сетью устанавливается сервер VPN. Компьютеры пользователей, желающих полу­чить доступ к ресурсам подсети бухгалтерии, выступают в качестве клиентов VPN. Сервер VPN авторизует пользователей и предоставляет им доступ к ре­сурсам подсети (например, базам данных). Прочие пользователи, не автори­зованные сервером VPN, не смогут получить доступ к ресурсам подсети бух­галтерии.