Протоколы

Семейство сетевых протоколов для реализации VPN довольно обширно, однако лишь три из них получили широкое распространение. Это IPSec, PPTP и L2TP.

IPSec — Internet Protocol Security — уже был подробно рассмотрен на данном сайте в статьеСтанислава Коротыгина.

PPTP — Point-to-Point Tunneling Protocol — создан усилиями Microsoft, US Robotics и ряда других разработчиков. Протокол описан создателями в этойиэтойработах.

L2TP — Layer 2 Tunneling Protocol — гордость "сетевого монстра" — Cisco. Более подробную информацию о нем можно почерпнуть здесьиздесь.

Особенности, недостатки и преимущества каждого из протоколов — это отдельная и весьма обширная тема, которая выходит за рамки настоящей статьи. Необходимо отметить, что по ряду причин наиболее распространенным протоколом VPN в настоящее время является IPSec. Более 65 процентов частных виртуальных сетей созданы на его основе. Поэтому в этот раз мы будем говорить лишь об аппаратно-программных решениях, в которых IPSec является основным.

Реализация

Для технической реализации VPN, помимо стандартного сетевого оборудования, нам необходим шлюз VPN (VPN Gateway). Он выполняет все функции по формированию туннелей, защите информации, контролю трафика, а нередко и функции централизованного управления.

Защита информации

Защита информации в понимании VPN включает в себя кодирование (encryption), подтверждение подлинности (authentication) и контроль доступа (access control). Кодирование подразумевает шифрование передаваемой через VPN информации. Прочитать полученные данные может лишь обладатель ключа к шифру.

Наиболее часто используемыми в VPN-решениях алгоритмами кодирования в наше время являются DES,Triple DESи различные реализацииAES. Степень защищенности алгоритмов, подходы к выбору наиболее оптимального из них — это тоже отдельная тема, которую мы не в состоянии обсудить.

Подтверждение подлинности включает в себя проверку целостности данных и идентификацию лиц и объектов, задействованных в VPN. Первая гарантирует, что данные дошли до адресата именно в том виде, в каком были посланы. Самые популярные алгоритмы проверки целостности данных на сегодня — MD5иSHA1.

Идентификация — это процесс удостоверения того, что объект действительно является тем, за кого/что он себя выдает. Здесь, помимо традиционных схем имя — пароль,все более и более активно используются системы сертификатов и специальных серверов для их проверки — CA (Certification Authorities). Такие серверы являются, как правило, частью систем PKI (Public Key Infrastructure). Популярные ныне PKI, напримерVerisignилиEntrust, могут обслуживать сертификаты и идентифицировать их держателей по протоколам HTTP и LDAP (X.509). Кроме того, для идентификации могут быть использованы биометрия, неизменяемые характеристики оборудования (например, MAC-адреса) или специальные идентификационные комплексы (Tacacs, Radius).

Контроль трафика подразумевает определение и управление приоритетами использования пропускной полосы VPN. С его помощью мы можем установить различные пропускные полосы для сетевых приложений и сервисов в зависимости от степени их важности.