В общем случае VPN - это объединение локальных сетей или отдельных машин, подключенных к сети общего пользования, в единую виртуальную (наложенную) сеть, обеспечивающую секретность и целостность передаваемой по ней информации (прозрачно для пользователей).
просмотров: 559907.03.2007 extrim.ru
В общем случае VPN - это объединение локальных сетей или отдельных машин, подключенных к сети общего пользования, в единую виртуальную (наложенную) сеть, обеспечивающую секретность и целостность передаваемой по ней информации (прозрачно для пользователей).Использование технологии VPN необходимо там, где требуется защита корпоративной сети от воздействия вирусов, злоумышленников, просто любопытных, а также от других угроз, являющихся результатом ошибок в конфигурировании или администрировании сети.
Виртуальные частные сети (VPN), создаваемые на базе арендуемых и коммутируемых каналов связи сетей общего пользования (и, в первую очередь, Интернет), являются отличной альтернативой изолированным корпоративным сетям, причем, альтернативой, обладающей рядом несомненных преимуществ:
- низкая стоимость арендуемых каналов и коммуникационного оборудования
- развитая топология сети (широкий географический охват);
- высокая надежность;
- легкость масштабирования (подключения новых сетей или пользователей);
- легкость изменения конфигурации;
- контроль событий и действий пользователей.
Какими свойствами должна обладать VPN?
Можно выделить три фундаментальных свойства, превращающих наложенную корпоративную сеть, построенную на базе сети общего пользования, в виртуальную частную сеть:
- шифрование
- аутентификация
- контроль доступа.
Только реализация всех этих трех свойств позволяет защитить пользовательские машины, серверы предприятия и данные, передаваемые по физически незащищенным каналам связи, от внешних нежелательных вторжений, утечки информации и несанкционированных действий.
Ниже приведены примеры реализации решений путем применения технологии VPN продуктного ряда "Застава".
На рис. 1 показан пример решения, позволяющий объединить территориально разнесенные ЛВС, удаленный сервер и удаленных клиентов
На рис. 2 приведен более сложный пример создания VPN сегментов. Цветом и, соответственно, цифрами выделены непересекающиеся VPN подсети с различными технологиями доступа к ресурсам. Таким образом, решается не только задача организации защищенных удаленных соединений, но и задача сегментирования ЛВС на информационно непересекающиеся подсети.
Проанализировав предлагаемые на рынке средств защиты информации наложенные VPN-технологии, имеющие сертификаты соответствия ФАПСИ и Гостехкомиссии РФ, а также соотношение "доступность \ защищенность", ООО "Экстрим-про" предлагает к внедрению одно из следующих решений:
- Продуктный ряд Застава (производитель ОАО "Элвис+");
- Продуктный ряд Net - Pro (производитель АО "Сигнал-Ком").
Ниже приводятся сравнительные характеристики указанных VPN продуктов.
Продуктный ряд VPN устройств по их функциональному назначению можно разделить по следующим направлениям:
- VPN продукты, предназначенные для коллективной защиты сегмента ЛС
от НСД из внешних сетей, а также для организации защищенных соединений
с отдельными компьютерами.
Продукты Производитель Платформа Наличие сертификата ГОСТЕХ-КОМИССИИ Использование криптоалгоритмов, сертифицированных ФАПСИ Застава-офис ОАО "Элвис+" Windows NT, Solaris (Intel/Sparc) + + Net Pro VPN Server АО "Сигнал-Ком" Windows NT + Планируется аттестация ФАПСИ до конца 2000 года. Net Pro IP Gateway* АО "Сигнал-Ком" FreeBSD + Планируется аттестация ФАПСИ до конца 2000 года. Все перечисленные VPN продукты реализованы в виде программно-аппаратных комплексов.
Продукты Производитель Платформа Наличие сертификата ГОСТЕХ-КОМИССИИ Использование криптоалгоритмов, сертифицированных ФАПСИ Застава-сервер ОАО "Элвис+" Windows NT, Solaris(Intel/Sparc) + + Застава-клиент ОАО "Элвис+" Windows NT, Solaris(Intel/Sparc) + + Застава- корпоративный клиент ОАО "Элвис+" Windows NT, Windows 95 + + Продукты Производитель Платформа Наличие сертификата ГОСТЕХ-КОМИССИИ Использование криптоалгоритмов, сертифицированных ФАПСИ Net Pro VPN Server АО "Сигнал-Ком" Windows NT + Планируется аттестация ФАПСИ до конца 2000 года. Net Pro VPN Client АО "Сигнал-Ком" Windows NT, Windows 95 + Планируется аттестация ФАПСИ до конца 2000 года. - Средства управления (создание, хранение, выдача, отзыв сертификатов,
и прочие дополнительные возможности).
Продукты Производитель Платформа Наличие сертификата ГОСТЕХ-КОМИССИИ Cертификация в ФАПСИ Застава-сервер сертификатов ОАО "Элвис+" Windows NT + _ Застава-центр управления ОАО "Элвис+" Windows NT, Windows 95 + _ KeyDepot TrustWorks Windows NT, Windows 95 + _ Сертифика-ционный центр Notary-PRO, v.1.0. АО "Сигнал-Ком" Windows NT, Windows 95 + _ В программных продуктах Net Pro для аутентификации и защиты потоков данных используется модернизированный протокол SSL (Secure Socket Layer). Особенностью такого решения является его "привязанность" к определенному типу приложений.
Радикальный способ преодоления этого ограничения сводится к тому, чтобы строить систему защиты не для отдельных классов приложений (пусть и весьма популярных), а для сети в целом.
Применительно к IP-сетям это означает, что системы защиты действуют на сетевом уровне модели OSI - что отличает VPN устройства продуктного ряда Застава. Их преимущество в том, что сетевой уровень отличается наибольшей гомогенностью: независимо от вышележащих протоколов, физической среды передачи и технологии канального уровня транспортировка данных по сети не может быть произведена в обход протокола IP. Поэтому, реализация защиты сети на третьем уровне гарантирует такую же степень защиты всех сетевых приложений, причем без какой-либо модификации последних. Для пользователей процедуры защиты окажутся столь же прозрачными, как и сам протокол IP.
В случае, когда архитектура IPSec совместима с протоколом IPv4, достаточно обеспечить ее поддержку на концах соединения, тогда промежуточные сетевые узлы могут вообще ничего "не знать" об IPSec.