Виртуальные части сети

Виртуальные частные сети (VPN)

VPN (Virtual Private Network). Виртуальные частные сети, или как мы их ещё называем корпоративные сети – это защищенные соединения между локальными сетями, расположенными в различных точках, зачастую на большом расстоянии друг от друга. Эта услуга позволяет Вам связать все Ваши офисы в общую локальную сеть.

Филиал в Республике Мордовия ОАО «ВолгаТелеком» предлагает Вам комплексное законченное решение по объединению информационных структур и удаленных офисов на основе технологий VLAN. Для оказания услуг передачи данных и организации VLAN, развернута мощная мультисервисная сеть. Высокая пропускная способность связующих цифровых каналов между серверами доступа обеспечивает высокое качество работы, в том числе и на больших скоростях подключения.

Для создания корпоративных сетей используется Ethernet технология Layer 2 (VLAN 2–го уровня), которая позволяет объединить Ваши удаленные офисы в единую защищенную корпоративную сеть с гарантией качества обслуживания (Quality of servise Layer 2).

Создав виртуальную частную сеть, Вы сможете:

Объединить территориально разобщенные подразделения Вашей компании в единую управляемую и контролируемую информационную структуру;

Обеспечить высокий уровень безопасности передачи информации;

Оптимизировать расходы на трафик;

Совместно работать над документами и базами данных, находясь, на большом расстоянии друг от друга.

Услуга позволит организовать работу Вашей компании на уровне мировых требований, потому что имеет ряд неоспоримых преимуществ по сравнению с услугами, традиционно представленными на рынке:

Минимизация Ваших затрат. Услуга оплачивается в зависимости от необходимой ширины канала, географического расположения точек подключения и класса обслуживания;

Организация корпоративной/ведомственной сети на основе протокола IP позволяет использовать весь спектр популярных Интернет приложений и не требует переподготовки персонала;

Возможность более интенсивно развивать бизнес в различных районах;

Защита информации. Трафик виртуальной сети клиента полностью изолирован от трафика других клиентов и трафика сети Интернет.

VLAN отличается рядом экономических преимуществ по сравнению с другими методами удаленного доступа.

подключение удаленных точек к корпоративной сети может осуществляться с применением различных технологий:

Ethernet

SHDSL

ADSL

Dual-Up

Вопросы безопасности услуги

Повышенные требования к обеспечению информационной безопасности услуги VPN выполняются благодаря техническим особенностям технологии VLAN.

Технология VLAN имеет ряд технических особенностей, которые позволяют реализовать уровень информационной безопасности, соответствующий уровню защищенности сетей построенных на базе технологий Frame Relay, ATM:

Разделение адресного пространства сетей различных клиентов;

Разделение маршрутной информации, принадлежащей различным клиентам;

Устойчивость к атакам типа «отказ в обслуживании» (нельзя влиять на работу во VLAN извне);

Таким образом, приобретая услугу VLAN, Вы можете быть уверены что:

Передаваемый Вам трафик не будет перехвачен другим пользователем, потому что IP пакеты не могут выйти за пределы своей VLAN,

По отношению к Вашей сети не могут быть применены какие-либо угрозы из сети Интернет, потому что IP пакеты Вашей VLAN изолированы от общей сети Интернет.

Виртуальная частная сеть на современном предприятии: бизнес под защитой

Автор: Александр Загнетко

Опубликовано в журнале "CIO" №2 от 21 февраля 2006 года

Далеко не все руководители организаций, а уж тем более рядовые сотрудники могут ответить на вопрос: «Что такое VPN?» А между тем, понятие это возникло давно, и в развитых странах корпоративная инфраструктура уже просто немыслима без виртуальных частных сетей. Поэтому несмотря на то что в отраслевых российских средствах массовой информации уже немало было сказано на эту тему, имеет смысл рассмотреть некоторые особенности VPN и попробовать оценить, в каком направлении развивается у нас эта отрасль телекоммуникаций.

О чем речь?

Сначала дадим краткое определение VPN. Виртуальная частная сеть — территориально-распределенная сеть передачи данных, состоящая из IP-подсетей, связанных между собой через общедоступную сеть, например, Интернет, с помощью защищенных протоколов (например, РРТР).

Виртуальные частные сети широко используются в современных информационных системах. Это вызвано потребностью в безопасном доступе к нужной информации из разных мест, а также стремлением сэкономить средства путем использования публичных сетей передачи данных.

Очевидно, что для понимания особенностей и преимуществ данной технологии следует рассказать об истории VPN и сегодняшнем их состоянии.

В сравнительно недавнем прошлом термин VPN ассоциировался с такими сервисами удаленного доступа, как телефонная корпоративная сеть общего пользования и PVC (permanent virtual channel, постоянный виртуальный канал) Frame Relay, однако к сегодняшнему дню он стал практически тождественным понятию корпоративной сети, базирующейся на IP.

Прежде чем на авансцену вышла концепция VPN, большие корпорации тратили огромные средства на создание и эксплуатацию сложных частных сетей, сейчас, как правило, именуемых инфраструктурой Intranet. Эти сети строились на базе весьма дорогостоящих услуг по аренде линий, на технологиях Frame Relay и ATM, с единственной целью — дать возможность работать удаленным пользователям. Для небольших представительств и мобильных сотрудников, как правило, задействовались серверы удаленного доступа или ISDN.

В то же самое время малые и средние предприятия, которые не могли позволить себе столь значительные затраты, были вынуждены довольствоваться использованием низкоскоростных каналов передачи данных и ограниченным числом услуг.

Однако по мере того, как доступ в Интернет становился все более распространенным, а пропускная способность каналов передачи данных росла, организации начали разгружать свои сети Intranet и создавать инфраструктуру, известную сегодня как Extranet, чтобы связать «внутренних» и «внешних» пользователей.

Интернет меняет подходы

Список аппаратно-программного обеспечения VPN и услуг, предлагаемых разнообразными вендорами, продолжает постоянно расширяться. Это приводит к тому, что руководители и даже ИТ-директора организаций, желающих создать защищенную сеть передачи данных, подчас путаются в определениях и зачастую не в состоянии не только разобраться в отличиях между различными системами VPN, но даже не знают точно, какая сеть обозначается этим термином.

В конечном счете, VPN можно противопоставить системам, находящимся в собственности, или арендованным каналам, которые эксплуатируются единственной организацией. И потому основная задача VPN состоит в том, чтобы дать заказчикам такие же возможности, как и при использовании частных арендованных каналов, при существенно меньших затратах за счет использования публичной инфраструктуры передачи данных. Телефонные операторы уже достаточно давно реализуют эту доктрину для передачи речи.

Когда Интернет еще не был практически универсальным инструментом, виртуальные частные сети организаций состояли из одного или более каналов, арендованных у операторов связи. Каждый арендованный канал действовал как единственный «провод» в сети, которой управлял клиент. Поставщики телекоммуникационных услуг иногда помогали управлять клиентскими сетями, но основная идея состояла в том, что заказчики использовали эти арендованные каналы так же, как они использовали физические кабели в своей локальной сети.

Провайдеры услуг связи гарантировали, что созданную для клиента сетевую инфраструктуру никто, кроме него, не будет использовать. Это позволяло организациям-клиентам разрабатывать собственную систему IP-адресации и политику безопасности. При этом арендованная линия проходила через один или несколько коммутаторов, которые, в принципе, могли использоваться для несанкционированного мониторинга трафика. Заказчик VPN доверял провайдеру конфигурирование и наладку каналов передачи данных, а также выработку оптимальной системы деловых отношений для того, чтобы избежать возможного «шпионажа». Так появился термин trusted VPN.

Однако когда Интернет превратился в популярную среду коммуникаций между организациями, безопасность стала намного более актуальной проблемой и для клиентов, и для провайдеров. Быстро осознав, что старые схемы создания корпоративной инфраструктуры в этом случае не обеспечивают безопасности, вендоры начали разрабатывать протоколы, которые позволили бы шифровать трафик на входе в сеть или в самом компьютере, передавать его в Интернет как любые другие данные и затем расшифровывать после доставки адресату. Этот зашифрованный трафик находится как бы в туннеле между двумя сетями: даже если злоумышленник сможет его извлечь, он будет не в состоянии расшифровать данные (во всяком случае, минимальное время расшифровки превышает период актуальности передаваемой информации). Помимо этого, исказить трафик, не вызвав изменений, которые будут обнаружены при его получении, также затруднительно. Такие сети называют Secure VPN. Подробнее о средствах, обеспечивающих безопасность VPN, будет рассказано ниже.

Итак, VPN могут быть реализованы, например, как Intranet и полностью заменить глобальную сеть передачи данных организации (WAN — Wide Area Network). VPN успешно объединяют инфокоммуникационную инфраструктуру удаленных офисов в корпоративную сеть через Интернет и позволяют сократить расходы на междугородный и международный трафик, при этом обеспечивая управление и безопасность на уровне выделенных сетей.

Имея доступ в Интернет, любой пользователь может без проблем подключиться к сети офиса своей фирмы. Что касается оборудования, то для объединения нескольких локальных сетей самым простым выбором будут VPN-шлюзы. Они обеспечивают быструю обработку пакетов, поскольку поддержка всех протоколов реализована в них на аппаратном уровне. Но для одиночных пользователей такое решение не подходит. Для их нужд уже довольно давно разработано ПО, реализующее все функции VPN на отдельном компьютере. Это позволяет удаленным сотрудникам подключаться по защищенному каналу к локальной сети, используя только Интернет.

Сегодня виртуальные частные сети могут работать на трех различных уровнях стека TCP/IP. На уровне канала для этого используются протоколы Point-to-Point Tunneling Protocol (PPTP) и Layer 2 Forwarding Protocol (L2F), на сетевом — Internet Protocol Security (IPSec) и Secure Key Interchange Protocol (SKIP), а на прикладном — Secure Socket Layer (SSL) и Secure HTTP.

VPN о чем не следует забывать

Отличия VPN от обычных сетей

Виртуальные частные сети позволяют удаленному пользователю, прошедшему аутентификацию, воспользоваться корпоративной сетью наравне с клиентами центральной корпоративной сети.

Центральная сеть любой организации может аутентифицировать пользователей несмотря на то, что они получают доступ через публичную сеть.

Провайдер услуг Интернета может обеспечить каждому клиенту пакет разнообразных услуг, легко масштабируемых под конкретную VPN.

Что дает VPN?

Удачно спроектированная VPN может принести организации немало выгод. Ее внедрение позволяет:

расширить географию доступа сотрудников к инфраструктуре организации;

повысить безопасность передачи информации;

уменьшить эксплуатационные затраты по сравнению с традиционными глобальными сетями;

сократить время передачи информации и снизить командировочные расходы;

повысить производительность труда;

упростить топологию сети;

увеличить мобильность пользователей и дать им более гибкий график работы;

повысить коэффициент ROI.

Необходимые свойства VPN:

безопасность;

надежность;

масштабируемость;

управляемость.

Недостатки VPN

VPN требуют всестороннего учета недостатков безопасности публичной сети и возможных недоработок в оборудовании и ПО, поддерживающих работу сети.

Состояние глобальной VPN (особенно базирующейся на Интернете) зависит от значительного числа неподконтрольных организации-пользователю факторов.

Технологии VPN от различных вендоров, операторов и интеграторов подчас плохо совместимы из-за незрелых стандартов.

Ряд новых протоколов требует адаптации для использования в VPN.

На страже корпоративных данных

Итак, организации заинтересованы в том, чтобы общедоступность данных для их сотрудников не приводила к незащищенности корпоративных коммуникаций. Система безопасности VPN призвана защитить всю корпоративную информацию от несанкционированного доступа. Прежде всего, как уже было сказано, данные передаются в зашифрованном виде. Прочитать полученную информацию может лишь обладатель ключа к шифру. Наиболее часто используемым алгоритмом кодирования является Triple DES, который обеспечивает тройное шифрование (168 разрядов) с использованием трех разных ключей.

Подтверждение подлинности включает в себя проверку целостности данных и идентификацию пользователей VPN. Проверка целостности гарантирует, что данные дошли до адресата именно в том виде, в каком были посланы. Самые популярные алгоритмы проверки целостности данных — MD5 и SHA1. Далее система проверяет, не были ли изменены данные во время движения по сетям.

Для построения VPN необходимо иметь на обоих концах канала передачи данных программы шифрования исходящего и дешифрования входящего трафиков. Они могут работать как на специализированных аппаратных устройствах, так и на ПК с такими операционными системами, как Windows, Linux или NetWare.

Управление доступом, аутентификация и шифрование — важнейшие элементы защищенного соединения.

Основы туннелирования

Туннелирование (tunneling) — это способ передачи информации через промежуточную сеть. Такой информацией могут быть кадры (или пакеты) другого протокола. При инкапсуляции кадр не передается в сгенерированном узлом-отправителем виде, а снабжается дополнительным заголовком, содержащим информацию о маршруте, позволяющую инкапсулированным пакетам проходить через промежуточную сеть. На конце туннеля кадры деинкапсулируются и передаются получателю.

Большинство VPN работает на основе протокола PPP (Point-to-Point Protocol). Протокол PPP разработан для передачи данных по телефонным линиям и выделенным соединениям «точка-точка». Он инкапсулирует пакеты IP, IPX и NetBIOS. Протокол может использоваться маршрутизаторами, соединенными выделенным каналом, или клиентом и сервером удаленного доступа, соединенными удаленным подключением.

Составные части PPP:

Метод инкапсуляции дейтаграмм при передаче по последовательным коммуникационным каналам.

Протокол управления каналом LCP для установления, конфигурирования и тестирования информационных каналов.

Набор протоколов управления сетью NCP для установки и конфигурирования различных протоколов сетевого уровня. Например, IPCP — протокол управления IP.