- •Частная сеть
- •Процесс инкапсуляции
- •Туннелирование на уровне 2
- •Туннелирование на уровне 3
- •Что дает использование vpn
- •Vpn и коммутируемые сети: преимущества и недостатки
- •Сценарии vpn
- •Vpn удаленного доступа
- •Виртуальные частные экстрасети
- •Xml (Extensible Markup Language — расширенный язык разметки) и cXml (Commerce xml — коммерческий xml). Как и html, этот язык обеспечивает совместимость разных платформ.
- •Соединения vpn между офисами
- •Vpn, создаваемые в ssh2, называются vpn на уровне каналов. Существует также клиентское программное обеспечение ssh для Windows.
- •Аппаратные реализации vpn
- •Конфигурирование соединения vpn
- •5. Итак, вы прошли по этапам мастера и ответили на все его вопросы. Теперь на последней странице мастера необходимо ввести имя соединения (рис. 16.10).
Vpn, создаваемые в ssh2, называются vpn на уровне каналов. Существует также клиентское программное обеспечение ssh для Windows.
Поддержку SSH можно установить на брандмауэре частой сети, тогда туннель создается от клиента SSH, имеющего коммутируемый доступ в Internet, до брандмауэра. Брандмауэр конфигурируется на передачу данных на сервер внутренней сети. Если высокая производительность не очень существенна, то такой простой способ во многих случаях является предпочтительным. Для SSH нужна своя регистрационная учетная запись, такая конфигурация будет оптимальной, когда, например, нескольким доверенным служащим нужно устанавливать из своего дома соединение с небольшой офисной сетью.
CIPE
Программа CIPE представляет собой драйвер ядра Linux, используемый для создания туннеля между двумя подсетями IP. Данные шифруются на сетевом уровне модели OSI. Это называется низкоуровневым шифрованием. По сравнению с высокоуровневым шифрованием оно обладает тем преимуществом, что при объединении двух сетей посредством VPN в приложения не нужно вносить никаких изменений' Программа CIPE проще и эффективнее, чем IPSec.
Протоколы шифрования
Когда туннель создан, необходимо зашифровать данные для обеспечения их безопасности. Чаще всего используются следующие способы шифрования данных:
-
МРРЕ;
-
IPSec;
-
VPNd;
-
SSH.
МРРЕ
Протокол МРРЕ используется в соединениях VPN на основе РРТР (или в коммутируемых соединениях РРР). В нем может использоваться алгоритм шифрования с 40-, 56- или 128-битовым ключом.
Шифрование IPSec
В протоколе IPSec для передачи по туннелю L2TP данные шифруются с помощью алгоритмов DES и 3DES. Эти алгоритмы обеспечивают высокую безопасность данных. Алгоритм Диффи—Хеллмана с открытыми/закрытыми ключами позволяет открыто обмениваться по сети открытыми ключами. При этом безопасность не нарушается, поскольку с помощью открытого ключа можно только шифровать данные, дешифрование без закрытого ключа невозможно.
Шифрование VPNd
В программе VPNd, работающей под управлением Linux, используется алгоритм шифрования Blowfish. В этом 64-битовом алгоритме используются ключи разной длины — от 32 до 448 бит. Алгоритм обладает высоким быстродействием. Программа VPNd распространяется бесплатно, и доступен ее исходный код. Существует несколько вариантов программы VPNd, включая GOLDFISH, DOS FISH и TWOFISH.
Шифрование SSH
В SSH для UNIX используются шифры с открытыми/закрытыми ключами.
Локальные протоколы
Для коммуникации клиента и сервера VPN необходимо установить общий стек стевых/транспортных протоколов. Им может быть TCP/IP, однако это не обязательно. Даже при использовании РРТР, в котором для создания туннеля в публичной сети необходим IP, в частной сети можно использовать IPX/SPX или даже NetBEUI.
Безопасность VPN
Безопасность VPN обеспечивают следующие процедуры;
-
аутентификация;
-
авторизация;
-
шифрование.
Такая многоуровневая система мер безопасности обеспечивает высокую конфиденциальность данных, передаваемых по VPN. Рассмотрим каждый из этих компонентов безопасности.
Аутентификация
Аутентификация клиента VPN предполагает проверку идентичности компьютера и пользователя, инициирующих соединение VPN. Аутентификация может выполнятся на уровне компьютеров. Например, если в сети VPN на основе Windows 2000 для создания соединения VPN L2TP используется IPSec, то выполняется обмен сертификатами компьютеров.
Аутентификация пользователей может выполняться с помощью одного из нескольких методов, среди которых ЕАР (Extensible Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), MS-CHAP (Microsoft CHAP), PAP (Password Authentication Protocol) или SPAP (Shiva PAP).
Авторизация
Этот термин означает ограничение числа пользователей, которым предоставляется Доступ в VPN соответственно принятой стратегии безопасности. Стратегия безопасности определяет, кто из пользователей может получать доступ в VPN, а кому в доступе Должно быть отказано.
Шифрование
Для защиты данных VPN используются различные технологии шифрования. Многие реализации VPN позволяют выбирать метод шифрования. Шифрование обеспечивает безопасность данных, передаваемых по VPN. Незашифрованные данные уязвимы для перехвата злоумышленниками в процессе их передачи по публичной сети.
Производительность VPN
Факторы, влияющие на производительность VPN, можно разбить на две категории: общие и специфические для конкретных реализаций VPN.
Более всего на производительность VPN влияет природа самой Internet. Известны многочисленные случаи выхода из строя региональных участков. Интенсивные потоки данных (как, например, при известных событиях 11 сентября 2001 года) могут вызвать существенное снижение производительности каналов. Кроме того, вследствие чрезмерной загрузки иногда закрываются серверы провайдеров, что затрагивает сотни или даже тысячи пользователей.
Использование VPN приводит к увеличению количества передаваемых служебных сигналов, что также уменьшает производительность сетей. Сети VPN на уровне каналов обладают значительно меньшей производительностью, чем на уровне сетей. Если для установки соединения VPN используется публичная сеть, то теряются многие элементы управления, доступные при использовании непосредственного коммутируемого соединения.
Типы VPN
Сеть VPN может быть реализована как программно, так и аппаратно. Рассмотрим кратко обе реализации, то, чем они отличаются и как их можно сочетать в целях повышения безопасности.
Программные реализации VPN
Эту категорию сетей можно разбить на два типа: сети на основе программного обеспечения независимых поставщиков и на основе программных средств, встроенных в операционные системы. Очевидным преимуществом последних является меньшая стоимость. Ничего не нужно покупать дополнительно, а средства создания VPN, включенные в современные операционные системы, такие, как Windows 2000, оказываются достаточными для решения большинства задач.
В программное обеспечение VPN независимых поставщиков обычно включены дополнительные средства, расширяющие диапазон использования VPN. Многие программы VPN предоставляют более широкий выбор средств безопасности. В некоторых случаях их легче реализовать. Некоторые программы VPN позволяют создавать туннели на основе как протоколов, так и IP-адресов. Реализовать такой тип фильтрации в сетях VPN на основе оборудования обычно нельзя.
Примерами программ VPN независимых поставщиков служат Safeguard VPN, Checkpoint SVN (Secure Virtual Networking) и NetMAX VPN Suite для Linux.