Преимущества технологии VPN
24.11.2004 | khomya

Команда гостей, направляющаяся в раздевалку в перерыве хоккейного матча, идет по крытому туннелю, который защищает игроков от хулиганских выходок болельщиков местной команды. Виртуальные частные сети (Virtual Private Network, VPN) обеспечивают подобную защиту информации, передаваемой предприятиями через Интернет.

VPN служит для организации прямого, безопасного соединения через общедоступный Интернет между клиентами (обычно конечным пользователем и корпоративным офисом) или между двумя ЛВС. Благодаря VPN удаленные пользователи могут обращаться к серверам предприятия и связываться с различными офисами своей компании. VPN может применяться как базовая архитектура обеспечения безопасности для экстрасети.

Для VPN не нужны выделенные линии, поэтому пользоваться ею может каждый, кто располагает доступом к Интернету. После того как соединение установлено, сотрудникам может предоставляться доступ ко всем ресурсам сети – так, словно они присутствуют в офисе. Самое большое достоинство технологии заключается в том, что, несмотря на общедоступную инфраструктуру, прямое соединение VPN, иногда именуемое «туннелем», защищено столь надежно, что украсть данные или получить несанкционированный доступ к территориально-распределенной сети становится очень трудно.

Сети VPN обладают рядом экономических преимуществ перед другими методами дистанционного доступа. Пользователи VPN могут обращаться к корпоративной сети, не устанавливая коммутируемое соединение, что позволяет сократить численность модемов или вообще отказаться от них. Можно обойтись и без выделенных линий, соединяющих удаленные офисы. Кроме того, повышается производительность труда, так как сотрудники могут пользоваться самыми быстрыми линиями связи, имеющимися в их распоряжении, вместо того чтобы тратить время на установление коммутируемого соединения через банк модемов. В результате, как утверждает Боб Лонадье, аналитик из фирмы Hurwitz Group (Фреймингем, шт. Массачусетс), специализирующейся на консультациях в области сложных технологий, расходы компаний на организацию VPN окупаются уже через шесть – девять месяцев.

Организация связи

Для построения VPN необходимо иметь на обоих концах линии связи программы шифрования исходящего и дешифрования входящего трафика. Программы могут работать на специализированных аппаратных устройствах или на ПК с универсальной операционной системой, такой, как Linux, NetWare или Windows.

Мы рекомендуем установить в серверный шкаф аппаратные устройства, часто именуемые концентраторами. Одновременное выполнение на ПК многочисленных, не связанных между собой процессов существенно увеличивает вероятность появления слабых мест в системе безопасности, а наличие механических компонентов делает ПК более подверженными отказам.

Управление доступом, аутентификация и шифрование – важнейшие элементы защищенного соединения. Протокол PPP (Point-to-Point Protocol) давно служит в качестве универсального канального уровня Интернета для прокладки туннелей между устройствами, но в последние годы более широкое распространение получили протоколы PPTP (Point-to-Point Tunneling Protocol) и L2TP (Layer 2 Tunneling Protocol).

В L2TP объединены протоколы PPTP и L2F (Layer-2 Forwarding) фирмы Cisco Systems. L2TP получил широкое признание благодаря применению методов IPSec (IP Security) для защиты информации (но с различными процедурами аутентификации). В настоящее время IPSec стал основным протоколом, обеспечивающим безопасность передачи данных между двумя устройствами или сетями. Единственным вопросом, на который до сих пор не найден однозначный ответ, остается выбор схемы шифрования. В течение многих лет широко применялся стандарт DES (Data Encryption Standard), но в конце 1990-х гг. многие системные администраторы отказались от него. Разгадать 56-разрядный ключ не составит большого труда для квалифицированного хакера с мощным домашним ПК. Сегодня самый распространенный в отрасли алгоритм Triple DES (3DES) обеспечивает тройное шифрование (168 разрядов) с использованием трех разных ключей. Для реализации этих методов шифрования необходимы специализированные или очень мощные процессоры.

Трудности выбора

Несмотря на столь значительные преимущества технологии VPN, построить полноценное решение на ее основе невозможно без вспомогательных инструментов. Например, пройдет несколько лет, прежде чем VPN будут соответствовать спецификации QoS (Quality of Service – качество обслуживания), которая позволяет администраторам назначать приоритеты пакетам данных, выделяя привилегированным пользователям и программам каналы связи с гарантированной пропускной способностью. Применяемые сегодня коммутаторы могут определить приоритет пакета, лишь «заглянув» в него и расшифровав его содержимое, а это неизбежно порождает угрозу для безопасности. Дальнейшее совершенствование VPN и других форм пересылки сетевых данных связано с новым сетевым стандартом MPLS (MultiProtocol Label Switching – многопротокольная коммутация на основе меток). Он предусматривает присваивание пакетам специальных ярлыков, по которым маршрутизатор будет распознавать пакеты с высоким приоритетом.

Одну из проблем безопасности VPN можно решить уже сегодня. Это защита домашнего пользователя. Настольный ПК домашнего пользователя может стать лазейкой для хакера. Особенно уязвимым его делает недостаточная защищенность многих широкополосных соединений, таких, как кабельные модемы и DSL.

Совместимость различных продуктов VPN также представляла собой серьезную проблему. Конкретные реализации протоколов и спецификаций каждого поставщика VPN имели хотя бы небольшие отличительные особенности. Диапазон задач, охватываемых стандартами, был слишком широк, а пространство для маневра слишком велико, чтобы обеспечить возможность совместной работы продуктов разных изготовителей. Выбрав одного поставщика, компания может оказаться привязанной к его продуктам по крайней мере до тех пор, пока проблема совместимости не будет решена в масштабах всей отрасли.

Выбирая VPN, следует учитывать и другие факторы. Цена многих продуктов зависит от числа туннелей, поэтому компании, планирующие внедрить VPN, должны иметь некоторое представление о том, сколько каналов может понадобиться им в будущем. В настоящее время приобретение продукта, рассчитанного на меньшее число туннелей, обойдется дешевле, но впоследствии, когда появится необходимость в наращивании ресурсов VPN, нынешняя экономия может обернуться крупными затратами.

Процедура подключения удаленных пользователей к VPN, всегда связанная с необходимостью инсталляции на стороне клиента, также довольно непроста. Технически грамотные пользователи, вероятно, смогут установить программу самостоятельно, но всем остальным придется решать трудную задачу. В идеальном случае технический персонал компании должен справиться с инсталляцией всех клиентских программ, но на практике такое случается редко.

Карен Дж. Баннан (PC Magazine/RE №1/2002)

Просмотров новости: 1 814  <>


-->