Виртуальные частные сети


Частные сети используются организациями для соединения с удаленными сайтами и с другими организациями, и состоят из каналов связи, арендуемых у различных телефонных компаний и поставщиков услуг интернета. Эти каналы связи соединяют только два объекта, будучи отделенными от другого трафика, так как арендуемые каналы обеспечивают двустороннюю связь между двумя сайтами.


Преимущества частных сетей:

  • информация сохраняется в секрете;
  • удаленные сайты могут осуществлять обмен информацией незамедлительно;
  • удаленные пользователи не ощущают себя изолированными от системы, к которой они осуществляют доступ.


Недостаток частных сетей: высокая стоимость
Виртуальные частные сети (VPN) обеспечивают многие преимущества частных сетей за меньшую цену. Правильно построенная виртуальная частная сеть может принести организации большую пользу, некорректно, – вся информация, передаваемая через VPN, может быть доступна из интернета.

Определение виртуальных частных сетей

Характеристики виртуальных частных сетей:

  • трафик шифруется для обеспечения защиты от прослушивания;
  • осуществляется аутентификация удаленного сайта;
  • обеспечивают поддержку множества протоколов;
  • соединение обеспечивает связь только между двумя конкретными абонентами.


VPN-пакеты смешиваются с потоком обычного трафика в интернете и существуют отдельно по той причине, что данный трафик может считываться только конечными точками соединения.
Шифрование должно быть достаточно мощным, чтобы можно было гарантировать конфиденциальность передаваемой информации на тот период, пока она будет актуальна.
Аутентификация удаленного сайта. Эта характеристика может требовать аутентификацию некоторых пользователей на центральном сервере либо взаимную аутентификацию обоих узлов, которые соединяет VPN. Используемый механизм аутентификации контролируется политикой.
Обеспечение поддержки различных протоколов, в особенности на прикладном уровне.
VPN соединяет два конкретных объекта, образуя уникальный канал связи между двумя абонентами. Каждая из этих точек VPN может единовременно поддерживать несколько соединений VPN с другими конечными точками, однако является отдельной от других, и трафик разделяется посредством шифрования.
Виртуальные частные сети, как правило, подразделяются на два типа: пользовательские VPN и узловые VPN.

Различия: метод использования.


Развертывание пользовательских виртуальных частных сетей

Пользовательские VPN – это сети, построенные между отдельной пользовательской системой и узлом или сетью организации. Пользователь подключается к интернету через телефонное подключение к локальному поставщику услуг, через канал DSL или кабельный модем и инициирует VPN-соединение с узлом организации через интернет.


В случае успешной аутентификации узлом организации
Узел организации запрашивает у пользователя аутентификационные данные и, в случае успешной аутентификации, позволяет пользователю осуществить доступ к внутренней сети организации, пользователь может осуществить доступ ко внутренней сети организации. Кроме того, пользователь, помимо VPN-соединения с внутренней сетью организации, может соединяться и с интернетом.

Konfiguraciya polzovatelskoi VPN
Рис. 1. Конфигурация пользовательской VPN


Преимущества:

  • сотрудники, находящиеся в командировке, могут осуществлять доступ к электронной почте, файлам и внутренним системам в любое время.
  • сотрудники, работающие из дома, могут осуществлять доступ к службам сети, как и сотрудники, работающие в организации, без аренды дорогостоящих выделенных каналов.


Данные преимущества экономят денежные средства.

Проблемы:
Правильное использование пользовательских VPN может снизить затраты организации. Однако при их использовании увеличивается степень риска, связанная с безопасностью, и проблемы реализации, с которыми приходится считаться.
Вопросы, связанные с управлением пользователями, как и внутренние системы. В некоторых случаях пользователи VPN могут быть привязаны к идентификаторам пользователей в домене системы централизованного управления пользователями, что требует бдительности со стороны администратора, каким пользователям требуется удаленный VPN-доступ, а каким – нет.
Так как VPN позволяет осуществлять удаленный доступ к внутренней сети организации, эта аутентификация должна быть двухфакторной, то есть запрашивать два аутентификационных параметра.
Использование трансляции сетевых адресов (NAT) на противоположном конце соединения может повлиять на использование организацией пользовательской VPN. При использовании VPN с узлов, защищенных межсетевыми экранами, могут возникнуть проблемы.


Управление
Управление пользовательскими VPN заключается в управлении пользователями и их компьютерами. А это значит, что на компьютерах пользователей должны устанавливаться правильные версии программного обеспечения VPN и реализовываться соответствующие конфигурации.


Развертывание узловых сетей VPN

Узловые виртуальные частные сети используются для подключения к удаленным узлам без применения дорогостоящих выделенных каналов или для соединения двух различных организаций, между которыми необходима связь для осуществления информационного обмена. VPN соединяет один межсетевой экран или пограничный маршрутизатор с другим аналогичным устройством.

mejuzlovoe soedinenie VPN
Рис. 2. Межузловое соединение VPN, проходящее через интернет


Для инициировки VPN осуществляется попытка передать трафик от одного узла к другому.
Оба узла аутентифицируют друг друга посредством некоторого общего предопределенного секрета либо с помощью сертификата с открытым ключом.


Преимущества узловых VPN
Основное преимущество узловой VPN – экономичность.

Проблемы:
VPN может позволить злоумышленнику получить доступ к центральному узлу и другим частям внутренней сети организации через удаленные узлы. Следовательно, необходимо применять строгие политики и реализовывать функции аудита для обеспечения безопасности организации в целом.
Аутентификация узловых VPN – важное условие для обеспечения безопасности, т.е. при установке соединения могут использоваться произвольные секреты, но один и тот же общий секрет не должен использоваться для более чем одного соединения VPN.
Сервер VPN должен поддерживать дешифрование и шифрование VPN-трафика. Если уровень трафика высок, сервер VPN может оказаться перегруженным.
Адресация. Использование узловой VPN внутри одной организации, требует наличия одинаковой схемы адресации для всех узлов, для соединения двух различных организаций, необходимо предпринять меры для предупреждения любых конфликтов, связанных с адресацией.

Konflikti uzlovoi VPN
Рис. 3. Узловая VPN может вызывать конфликты, связанные с адресацией


Очевидно, что схемы адресации будут конфликтовать друг с другом, а маршрутизация трафика не будет функционировать.


Управление

Ispolzovanie NAT uzlovoi VPN
Рис. 4. Узловая VPN использует NAT для предотвращения конфликтов адресации


На маршрутизаторах внутренних сетей потребуется создать маршруты к удаленным сайтам, которые наряду с управлением схемой адресации, должны четко документироваться во избежание непреднамеренного удаления маршрутов в процессе управления маршрутизатором.


Понятие стандартных технологий функционирования VPN

Сеть VPN состоит из:

  • сервер VPN;
  • алгоритмы шифрования;
  • система аутентификации;
  • протокол VPN.


Эти компоненты реализуют соответствие требованиям по безопасности, производительности и способности к взаимодействию, правильность реализования архитектуры VPN.
Определение требований включает в себя следующие аспекты:

  • количество времени, в течение которого необходимо обеспечивать защиту информации;
  • число одновременных соединений пользователей;
  • ожидаемые типы соединений пользователей (сотрудники, работающие из дома или находящиеся в поездке);
  • число соединений с удаленным сервером;
  • типы сетей VPN, которым понадобится соединение;
  • ожидаемый объем входящего и исходящего трафика на удаленных узлах;
  • политика безопасности, определяющая настройки безопасности.


Сервер VPN
Компьютер, выступающий в роли конечного узла соединения VPN, и обладающий характеристиками, достаточными для поддержки ожидаемой нагрузки. Следует обеспечить наличие системы с соответствующими параметрами, а также позаботиться о ее дальнейшей модернизации.
Системы, имеющие методы обхода ошибок и разрешающие наличие избыточных серверов VPN, могут не подразумевать распределение нагрузки, поэтому соединения могут по-прежнему требовать распределения между серверами. Это обстоятельство необходимо принимать во внимание при построении систем.
VPN-сервер должен быть расположен в сети. Чтобы упростить размещение VPN-сервера, он может быть межсетевым экраном, пограничным маршрутизатором либо отдельной системой.

Arhitektura seti VPN gde mejset_VPN-server
Рис. 5. Архитектура сети VPN, в которой межсетевой экран является VPN-сервером


Тогда в этом случае сервер должен быть расположен в выделенной демилитаризованной зоне (DMZ).

Arhitektura seti VPN dlya otdelnogo VPN-servera
Рис. 6. Архитектура сети VPN для отдельного сервера VPN


Демилитаризованная зона VPN защищается набором правил межсетевого экрана и разрешает передачу только того трафика, который требует VPN. Однако в этом случае межсетевой экран может потребовать усовершенствования для поддержки нагрузки трафика, к тому же он может обладать недостаточными характеристиками для обеспечения вычислительной мощности, необходимой для трафика VPN. Тогда для обеспечения разгрузки межсетевого экрана лучше использовать отдельную платформу VPN, которая возьмет на себя функции обработки VPN.


Алгоритмы шифрования
Выбор алгоритма не имеет принципиального значения, если он будет стандартным и в достаточной степени мощным. Гораздо больше влияет на общий уровень безопасности реализация системы. Чтобы получить доступ к информации, передаваемой через VPN, злоумышленник должен:

  • захватить весь сеанс соединения, т. е. разместить устройство прослушивания между противоположными концами соединения в том месте, через которое должен передаваться весь трафик VPN;
  • использовать большие вычислительные мощности и большое количество времени для перехвата ключа с помощью грубой силы и для дешифрования трафика.


Система аутентификации
Система аутентификации VPN должна быть двухфакторной, т.е. с использованием того, что они знают, того, что у них есть или с помощью данных о том, кем они являются. Хорошей комбинацией средств аутентификации являются смарт-карты в паре с персональным идентификационным номером или паролем.


Протокол VPN
Протокол VPN определяет, каким образом система VPN взаимодействует с другими системами в интернете, а также уровень защищенности трафика. Протокол VPN оказывает влияние на общий уровень безопасности системы, т.к. протокол VPN используется для обмена ключами шифрования между двумя конечными узлами. Если этот обмен не защищен, злоумышленник может перехватить ключи и затем расшифровать трафик, сведя на нет все преимущества VPN.
При соединении рекомендуется использовать стандартные протоколы для VPN – IPSec, являющийся дополнением к IP, осуществляющее инкапсуляцию и шифрование заголовка TCP и полезной информации, содержащейся в пакете. А также поддерживает обмен ключами, удаленную аутентификацию сайтов и согласование алгоритмов. IPSec использует UDP-порт 500 для начального согласования, после чего используется IP-протокол 50 для всего трафика. Для правильного функционирования VPN эти протоколы должны быть разрешены.


Типы систем VPN

Выделяется три типа VPN-построителей:

  • аппаратные системы;
  • программные системы;
  • веб-системы.


Аппаратные системы
Аппаратные системы VPN базируются на аппаратной платформе, используемой в качестве VPN-сервера, на которой выполняется программное обеспечение производителя, а также, возможно, некоторое специальное программное обеспечение, предназначенное для улучшения возможностей шифрования. Для построения VPN на системе удаленного пользователя необходимо наличие соответствующего программного обеспечения.


Преимущества:

  • Скорость. Оборудование, как правило, оптимизировано для поддержки VPN, посредством чего обеспечивается преимущество в скорости по сравнению с компьютерными системами общего назначения. За счет этого достигается возможность поддержки большего числа одновременных VPN-соединений.
  • Безопасность. При разработке аппаратной платформы специально для приложения VPN, из ее системы удаляются все лишние программы и процессы. Это снижается степень подверженности атакам по сравнению с компьютерной системой общего назначения, в которой работают другие процессы.


Программные системы
Программные VPN работают на компьютерных системах общего назначения, и могут быть установлены на выделенной для VPN системе либо совместно с другим программным обеспечением, таким как межсетевой экран. При загрузке программного обеспечения, для поддержки VPN, необходимо обеспечить достаточную мощность аппаратной платформы.


Веб-системы
Главным недостатком большинства пользовательских систем VPN – потребность в установке программного обеспечения на систему-клиент. В качестве VPN-клиентов стали рассматривать веб-браузеры, т.е. пользователь с помощью браузера подключается к VPN через SSL. SSL обеспечивает шифрование трафика, а подтверждение подлинности пользователя выполняется с помощью средств аутентификации, встроенных в систему.


Вывод
Межузловые и пользовательские VPN имеют различные требования к аутентификации и безопасности конечных узлов. Это необходимо принимать в расчет при построении VPN для использования приложением. Выбор механизма шифрования и мощность используемого алгоритма шифрования напрямую влияет на то, какие атаки будут пресекаться. В процессе разработки необходимо принимать во внимание все имеющиеся угрозы безопасности.