Реферат: Удалённый доступ к частной сети через Интернет с помощь технологии VPN
<span Times New Roman",«serif»"><span Times New Roman",«serif»">КОМПЬЮТЕРНАЯ АКАДЕМИЯ «ШАГ»<span Times New Roman",«serif»">ДОНЕЦКИЙ ФИЛИАЛ<span Times New Roman",«serif»">Специализация Сетевое администрирование
<span Times New Roman",«serif»">ДИПЛОМНЫЙ ПРОЕКТна тему: Удалённый доступ к частной сети черезИнтернет
The removed access to a private network through theInternet
Студент ДубининИгорь (DubininIgor)
группа __________________.
Руководитель_____________________
Дипломный проектпроверен
и допущен к защите
«____»_______________20__г
________________________________
/подписьруководителя/
ДОНЕЦК 2003.
Содержание:
1.1 Вступление…………………………………………………………… 3
1.2 Задачапроекта ………………………………………………………… 3
1.3 Что такое виртуальная частнаясеть? ………………………………… 4
1.4 История появления VPN……………………………………………… 6
1.5 Технология VPN ………………………………………………………. 7
1.6 Практическоеприменение …………………………………………… 10
1.7 Безопасность…………………………………………………………..11
1.8 Защитаот внешних и внутренних атак ……………………………… 13
1.9 Производительность…………………………………………………. 13
1.10 Протоколы виртуальных частныхсетей ……………………………. 16
1.11 Плюсы VPN…………………………………………………………… 18
1.12 Минусы VPN…………………………………………………………. 19
1.13 Перспективы VPN……………………………………………………. 19
1.14 Настройка сервера VPNподWindows2000 Server<span Verdana",«sans-serif»">
<span Verdana",«sans-serif»">….……………… 211.15 Настройка клиентскойчасти VPNподWindows2000 Server<span Verdana",«sans-serif»">
...…… 241.16 Выводы………………………………………………………………… 25
1.17 Список ссылок………………………………………………………… 26
1.1 Вступление
Очень часто современномучеловеку, развивая свой бизнес, приходится много путешествовать. Это могут быть поездки в отдаленные уголки нашейстраны или даже в страны зарубежья.
Нередко людям нужен доступ к своейинформации, хранящейся на их домашнем компьютере, или на компьютере фирмы. Этупроблему можно решить, организовав удалённый доступ к нему с помощью модема и телефонной линии. Использованиетелефонной линии имеет свои особенности. Недостатки этого решения в том, чтозвонок с другой страны стоит немалых денег.
Есть и другое решение подназванием VPN. Описание этой возможности легло в основу данной дипломной работы подназванием «Удалённый доступ к частной сети через Интернет».
Преимущества технологии VPNв том, что организация удалённогодоступа делается не через телефонную линию, а через Интернет, что намного дешевле и лучше. Дляорганизации удалённого доступа к частной сети с помощью технологии VPNпонадобится Интернет и реальный IPадрес. И любой пользователь с любойточки земного шара сможет зайти в нашу сеть, если он знает IPадрес, логин и пароль нашей сети. По моему мнению, технология VPNполучит широкое распространение повсему миру.
1.2<span Times New Roman"">
Задача проектаЗадачей проекта является описаниетехнологии “Удалённого доступа к частной сети через Интернет(VPN)”, её плюсы и минусы, история появления VPN, описаниепрактического применения VPN, объяснение того, как эта технологияработает, её производительность, описание настройки серверной части VPNпод Windows2000 Serverи настройки клиентской части VPN.
1.3 Чтотакое виртуальная частная сеть?
Посвоей сути VPN обладает многими свойствами выделенной линии, однако развертываетсяона в пределах общедоступной сети, например Интернета. С помощью методикитуннелирования пакеты данных транслируются через общедоступную сеть как пообычному двухточечному соединению. Между каждой парой «отправитель–получательданных» устанавливается своеобразный туннель – безопасное логическоесоединение, позволяющее инкапсулировать данные одного протокола в пакетыдругого. Очень важным свойством туннелей является возможность дифференциацииразличных типов трафика и назначения им необходимых приоритетов обслуживания.
Основными компонентами туннеля являются:
- инициатор;
— маршрутизируемая сеть;
- туннельный коммутатор;
- один или несколько туннельных терминаторов.
Инициировать и разрывать туннель могут самые различные сетевые устройства ипрограммное обеспечение. Например, туннель может быть инициирован ноутбукоммобильного пользователя, оборудованным модемом и соответствующим программнымобеспечением для установления соединений удаленного доступа. В качествеинициатора может выступить также маршрутизатор экстрасети (локальной сети),наделенный соответствующими функциональными возможностями. Туннель обычнозавершается коммутатором экстрасети или шлюзом провайдера услуг.
Сам по себе принцип работы VPN непротиворечит основным сетевым технологиям и протоколам. Например, приустановлении соединения удаленного доступа клиент посылает серверу потокпакетов стандартного протокола PPP. В случае организации виртуальных выделенныхлиний между локальными сетями их маршрутизаторы также обмениваются пакетамиPPP. Тем не менее, принципиально новым моментом является пересылка пакетовчерез безопасный туннель, организованный в пределах общедоступной сети.
Туннелирование позволяеторганизовать передачу пакетов одного протокола в логической среде, использующейдругой протокол. В результате появляется возможность решить проблемывзаимодействия нескольких разнотипных сетей, начиная с необходимостиобеспечения целостности и конфиденциальности передаваемых данных и заканчиваяпреодолением несоответствий внешних протоколов или схем адресации.
Существующая сетевая инфраструктура корпорации может быть подготовлена киспользованию VPN как с помощью программного, так и с помощью аппаратногообеспечения. Организацию виртуальной частной сети можно сравнить с прокладкойкабеля через глобальную сеть. Как правило, непосредственное соединение междуудаленным пользователем и оконечным устройством туннеля устанавливается попротоколу PPP.
Наиболее распространенный метод создания туннелей VPN – инкапсуляция сетевыхпротоколов (IP, IPX, AppleTalk и т. д.) в PPP и последующая инкапсуляцияобразованных пакетов в протокол туннелирования. Обычно в качестве последнеговыступает IP или (гораздо реже) ATM и Frame Relay. Такой подход называетсятуннелированием второго уровня, поскольку «пассажиром» здесь является протоколименно второго уровня.
Альтернативный подход – инкапсуляция пакетов сетевого протокола непосредственнов протокол туннелирования (например, VTP) называется туннелированием третьего уровня.
Независимо от того, какие протоколыиспользуются или какие цели преследуются при организации туннеля, основнаяметодика остается практически неизменной. Обычно один протокол используется дляустановления соединения с удаленным узлом, а другой – для инкапсуляции данных ислужебной информации с целью передачи через туннель.
В качестве примера использованиятуннеля для устранения несоответствий между протоколами и схемами адресацииможно привести технологию Simple Internet Transition (SIT), которая должнапоявиться вместе с протоколом IPv6. Это тщательно разработанная группойинженеров (IETF) методология туннелирования, призванная облегчить переход отчетвертой версии межсетевого протокола (IPv4) к шестой (IPv6). Эти версиидостаточно отличаются, чтобы говорить о непосредственной совместимостисетей. Инкапсуляция же пакетов протокола IPv6 в пакеты IPv4 позволяет достичьнеобходимого уровня функциональной совместимости.
1.4 История появления VPN
История появления VPN тесно связана суслугой CENTREX в телефонных сетях. Понятие Centrex появилось на рубеже 60-хгодов в США как общее название способа предоставления услуг деловой связиабонентам нескольких компаний на основе совместно используемого оборудованияодной учрежденческой станции PBX (Private Branch Exchange). С началом внедренияв США и Канаде станций с программным управлением термин приобрел иной смысл истал означать способ предоставления деловым абонентам дополнительных услугтелефонной связи, эквивалентных услугам PBX, на базе модифицированных станцийсети общего пользования. Основное преимущество Centrex заключалось в том, чтофирмы и компании при создании выделенных корпоративных сетей экономилизначительные средства, необходимые на покупку, монтаж и эксплуатациюсобственных станций. Хотя для связи между собой абоненты Centrex используютресурсы и оборудование сети общего пользования, сами они образуют такназываемые замкнутые группы пользователей CUG (Closed Users Group) сограниченным доступом извне, для которых в станциях сети реализуютсявиртуальные PBX.
В стремлении преодолеть свойственные Centrex ограничения была выдвинута идеявиртуальной частной сети VPN — как объединение CUG, составляющих однукорпоративную сеть и находящихся на удалении друг от друга. Ресурсы VPN (каждаясо своим планом нумерации) могут быть распределены по нескольким станциямместной сети, оснащенным функциями Centrex и имеющим в зоне своего обслуживанияодну или несколько CUG. При этом в станцию могут быть включены как PBX,непосредственно принадлежащие владельцу VPN, так и линии обычных индивидуальныхабонентов.
1.5 ТехнологияVPN
Технология VPN (Virtual Private Network –виртуальная частная сеть) – не единственный способ защиты сетей и передаваемыхпо ним данных. Но я считаю, что она достаточно эффективна, и ее повсеместноевнедрение – это не только дань моде, весьма благосклонной к VPN в последниепару лет.
<img src="/cache/referats/18955/image001.jpg" v:shapes="_x0000_i1025">
Рис.2 Схема VPN
Суть VPN состоит в следующем:
На все компьютеры, имеющие выход в Интернет, устанавливается средство, реализующее VPN (VPN-агент). Не должно остаться ни одного незащищенного! VPN-агенты автоматически шифруют всю исходящую информацию (и соответственно расшифровывают всю входящую). Они также следят за ее целостностью с помощью ЭЦП или имитоприставок (криптографическая контрольная сумма, рассчитанная с использованием ключа шифрования).Поскольку информация,циркулирующая в Интернете, представляет собой множество пакетов протокола IP,VPN-агенты работают именно с ними.
Перед отправкой IP-пакета VPN-агент действует следующимобразом:
Из нескольких поддерживаемых им алгоритмов шифрования и ЭЦП по IP-адресу получателя выбирает нужный для защиты данного пакета, а также ключи. Если же в его настройках такого получателя нет, то информация не отправляется. Определяет и добавляет в пакет ЭЦП отправителя или имитоприставку. Шифрует пакет (целиком, включая заголовок). Проводит инкапсуляцию, т. е. формирует новый заголовок, где указывается адрес вовсе не получателя, а его VPN-агента. Эта полезная дополнительная функция позволяет представить обмен между двумя сетями как обмен всего-навсего между двумя компьютерами, на которых установлены VPN-агенты. Всякая полезная для темных целей злоумышленника информация, например внутренние IP-адреса, ему уже недоступна.При получении IP-пакета выполняются обратные действия:
1.<span Times New Roman"">
Заголовок содержитсведения о VPN-агенте отправителя. Если таковой не входит в список разрешенныхв настройках, то информация просто отбрасывается. То же самое происходит приприеме пакета с намеренно или случайно поврежденным заголовком.2.<span Times New Roman"">
Согласно настройкамвыбираются алгоритмы шифрования и ЭЦП, а также необходимые криптографическиеключи.3.<span Times New Roman"">
Пакет расшифровывается,затем проверяется его целостность. Если ЭЦП неверна, то он выбрасывается.4.<span Times New Roman"">
И, наконец, пакет в егоисходном виде отправляется настоящему адресату по внутренней сети.Все операции выполняются автоматически. Сложнойв технологии VPN является только настройка VPN-агентов, которая, впрочем,вполне по силам опытному пользователю.
VPN-агент может находиться непосредственнона защищаемом ПК, что полезно для мобильных пользователей, подключающихся к Интернет.В этом случае он обезопасит обмен данными только того компьютера, на которомустановлен.
Возможно совмещение VPN-агента смаршрутизатором (в этом случае его называют криптографическим) IP-пакетов.Кстати, ведущие мировые производители в последнее время выпускаютмаршрутизаторы со встроенной поддержкой VPN, например Express VPN от Intel,который шифрует все проходящие пакеты по алгоритму Triple DES.
Как видно из описания, VPN-агенты создаютканалы между защищаемыми сетями, которые обычно называют “туннелями”. Идействительно, они “прорыты” через Интернет от одной сети к другой;циркулирующая внутри информация спрятана от чужих глаз.
<img src="/cache/referats/18955/image002.jpg" v:shapes="_x0000_i1026">
Рис.3 Туннелирование и фильтрация
Кроме того, все пакеты “фильтруются” всоответствии с настройками. Таким образом, все действия VPN-агентов можносвести к двум механизмам: созданию туннелей и фильтрации проходящих пакетов.
Совокупность правил создания туннелей,которая называется “политикой безопасности”, записывается в настройкахVPN-агентов. IP-пакеты направляются в тот или иной туннель или отбрасываютсяпосле того, как будут проверены:
IP-адрес источника (для исходящего пакета — адрес конкретного компьютера защищаемой сети); IP-адрес назначения; протокол более высокого уровня, которому принадлежит данный пакет (например, TCP или UDP); номер порта, с которого или на который отправлена информация (например, 1080).1.6 Практическоеприменение
Относительноприменения, можно выделить четыре основных варианта построения сети VPN, которыеиспользуются во всем мире.
·<span Times New Roman"">
Вариант «Intrenet VPN», которыйпозволяет объединить в единую защищенную сеть несколько распределенных филиаловодной организации, взаимодействующих по открытым каналам связи. Именно этотвариант получил широкое распространение во всем мире, и именно его в первуюочередь реализуют компании-разработчики.·<span Times New Roman"">
Вариант «Client/Server VPN», который обеспечивает защитупередаваемых данных между двумя узлами (не сетями) корпоративной сети.Особенность данного варианта в том, что VPN строится между узлами,находящимися, как правило, в одном сегменте сети, например между рабочей станциейи сервером. Такая необходимость очень часто возникает в тех случаях, когданеобходимо создать в одной физической, несколько логических сетей. Например,когда требуется разделить трафик между финансовым департаментом и отделомкадров, которые обращаются к серверам, находящимся в одном физическом сегменте.Этот вариант похож на технологию VLAN, которая действует на уровне вышеканального.·<span Times New Roman"">
Вариант «Extranet VPN» предназначен для тех сетей, кудаподключаются так называемые пользователи со стороны, уровень доверия к которымнамного ниже, чем к своим сотрудникам.·<span Times New Roman"">
Вариант «Remote Access VPN», позволяющий реализовать защищенноевзаимодействие между сегментом корпоративной сети (центральным офисом илифилиалом) и одиночным пользователем, который подключается к корпоративнымресурсам из дома (домашний пользователь) или через notebook (мобильныйпользователь). Данный вариант отличается тем, что удаленный пользователь, какправило, не имеет «статического» адреса и подключается к защищаемому ресурсу нечерез выделенное устройство VPN, а напрямую с собственного компьютера, где иустанавливается программное обеспечение, реализующее функции VPN. Этимвариантом мы и воспользуемся.1.7 Безопасность
Естественно,никакая компания не хотела бы открыто передавать в Интернет финансовую илидругую конфиденциальную информацию. Каналы VPN защищены мощными алгоритмамишифрования, заложенными в стандарты протокола безопасности IРsec. IPSec(Internet Protocol Security — стандарт, выбранный международным сообществом,группой IETF — Internet Engineering Task Force) создает основы безопасности дляИнтернет-протокола (IP), незащищенность которого долгое время являлась притчейво языцех. Протокол Ipsec обеспечивает защиту на сетевом уровне и требуетподдержки стандарта Ipsec только от общающихся между собой устройств по обестороны соединения. Все остальные устройства, расположенные между ними, простообеспечивают трафик IP-пакетов.
Способ взаимодействия лиц, использующих технологию Ipsec, принято определятьтермином «защищенная ассоциация» — Security Association (SA).Защищенная ассоциация функционирует на основе соглашения, заключенногосторонами, которые пользуются средствами Ipsec для защиты передаваемой другдругу информации. Это соглашение регулирует несколько параметров: IP-адресаотправителя и получателя, криптографический алгоритм, порядок обмена ключами,размеры ключей, срок службы ключей, алгоритм аутентификации.
Другие стандарты включают протокол PPTP (Point to Point Tunneling Protocol),развиваемый Microsoft, L2F (Layer 2 Forwarding), развиваемый Cisco, — оба дляудаленного доступа. Microsoft и Cisco работают совместно с IETF, чтобысоединить эти протоколы в единый стандарт L2P2 (Layer 2 Tunneling Protocol) сцелью использования IPSec для туннельной аутентификации, защиты частнойсобственности и проверки целостности.
Проблема состоит в том, чтобы обеспечить приемлемое быстродействие сети приобмене шифрованной информацией. Алгоритмы кодирования требуют значительныхвычислительных ресурсов процессора, иногда в 100 раз больших, чем при обычнойIP-маршрутизации. Чтобы добиться необходимой производительности, надопозаботиться об адекватном повышении быстродействия, как серверов, так иклиентских ПК. Кроме того, есть специальные шлюзы с особыми схемами, которыезаметно ускоряют шифрование.
IT-менеджер может выбирать конфигурацию виртуальной частной сети в зависимостиот конкретных потребностей. Например, работающему на дому сотруднику может бытьпредоставлен ограниченный доступ к сети, а менеджеру удаленного офиса илируководителю компании — широкие права доступа. Один проект может ограничиватьсялишь минимальным (56-разрядным) шифрованием при работе через виртуальную сеть,а финансовая и плановая информация компании требует более мощных средствшифрования — 168-разрядных.
1.8 Защита от внешних ивнутренних атак
К сожалению, приходитсяотметить, что средства построения VPN не являются полноценными средствамиобнаружения и блокирования атак. Они могут предотвратить ряднесанкционированных действий, но далеко не все возможности, которые могутиспользовать хакеры для проникновения в корпоративную сеть. Они не могутобнаружить вирусы и атаки типа «отказ в обслуживании» (это делаютантивирусные системы и средства обнаружения атак), они не могут фильтроватьданные по различным признакам (это делают межсетевые экраны) и т.д. На это мнеможно возразить, что эти опасности не страшны, так как VPN не приметнезашифрованный трафик и отвергнет его. Однако на практике это не так.Во-первых, в большинстве случае средство построения VPN используется для защитылишь части трафика, например, направленного в удаленный филиал. Остальнойтрафик (например, к публичным Web-серверам) проходит через VPN-устройство безобработки. А во-вторых, перед лицом статистики склоняют головы даже самыеотъявленные скептики. А статистика утверждает, что до 80% всех инцидентов,связанных с информационной безопасностью, происходит по вине авторизованныхпользователей, имеющих санкционированный доступ в корпоративную сеть. Из чегоследует вывод, что атака или вирус будут зашифрованы наравне с безобиднымтрафиком.
1.9 Производительность
Производительность сети — это достаточноважный параметр, и на любые средства, способствующие его снижению, в любойорганизации смотрят с подозрением. Не являются исключением и средствапостроения VPN, которые создают дополнительные задержки, связанные с обработкойтрафика, проходящего через VPN-устройство. Все задержки, возникающие прикриптографической обработке трафика, можно разделить на три типа:
·<span Times New Roman"">
Задержки при установлении защищенного соединения междуVPN-устройствами.·<span Times New Roman"">
Задержки, связанные с зашифровыванием и расшифровываниемзащищаемых данных, а также с преобразованиями, необходимыми для контроля ихцелостности.·<span Times New Roman"">
Задержки, связанные с добавлением нового заголовка к передаваемым пакетам.Реализация первого,второго и четвертого вариантов построения VPN предусматривает установлениезащищенных соединений не между абонентами сети, а только междуVPN-устройствами. С учетом криптографической стойкости используемых алгоритмов сменаключа возможна через достаточно длительный интервал времени. Поэтому прииспользовании средств построения VPN задержки первого типа практически невлияют на скорость обмена данными. Разумеется, это положение касается стойкихалгоритмов шифрования, использующих ключи не менее 128 бит (Triple DES, ГОСТ28147-89 и т.д.). Устройства, использующие бывший стандарт DES, способнывносить определенные задержки в работу сети.
Задержкивторого типа начинают сказываться только при передаче данных по высокоскоростнымканалам (от 10 Мбит/с). Во всех прочих случаях быстродействие программной илиаппаратной реализации выбранных алгоритмов шифрования и контроля целостностиобычно достаточно велико и в цепочке операций «зашифровывание пакета — передачапакета в сеть» и «прием пакетов из сети — расшифровывание пакета» времязашифровывания (расшифровывания) значительно меньше времени, необходимого дляпередачи данного пакета в сеть.
Основная проблема здесь связана с добавлением дополнительногозаголовка к каждому пакету, пропускаемому через VPN-устройство. В качествепримера рассмотрим систему диспетчерского управления, которая в реальноммасштабе времени осуществляет обмен данными между удаленными станциями ицентральным пунктом. Размер передаваемых данных не велик — не более 25 байтов.Данные сопоставимого размера передаются в банковской сфере (платежныепоручения) и в IP-телефонии. Интенсивность передаваемых данных — 50-100переменных в секунду. Взаимодействие между узлами осуществляется по каналам спропускной способностью в 64 Кбит/с.
Пакет созначением одной переменной процесса имеет длину 25 байтов (имя переменной — 16байтов, значение переменной — 8 байт, служебный заголовок — 1 байт).IP-протокол добавляет к длине пакета еще 24 байта (заголовок IP-пакета). Прииспользовании в качестве среды передачи каналов Frame Relay LMI добавляется еще10 байтов FR-заголовка. Всего — 59 байтов (472 бита). Таким образом, дляпередачи 750 значений переменных процесса за 10 секунд (75 пакетов в секунду)необходима полоса пропускания 75×472 = 34,5 Кбит/с, что хорошовписывается в имеющиеся ограничения пропускной способности в 64 Кбит/с. Теперьпосмотрим, как ведет себя сеть при включении в нее средства построения VPN.Первый пример — средства на основе порядком уже подзабытого протокола SKIP.
К 59 байтамданных добавляется 112 байт дополнительного заголовка (для ГОСТ 28148-89), чтосоставит 171 байт (1368 бит). 75×1368 = 102,6 Кбит/с, что на 60%превышает максимальную пропускную способность имеющегося канала связи.
Для протокола IPSec и вышеуказанныхпараметров пропускная способность будет превышена на 6% (67,8 Кбит/с). Это приусловии, что дополнительный заголовок для алгоритма ГОСТ 28147-89 составит 54байта. Для протокола, используемого в российском программно-аппаратном комплексе«Континент-К», дополнительный заголовок, добавляемый к каждому пакету,составляет всего 36 байтов (или 26 — в зависимости от режима работы), что невызывает никакого снижения пропускной способности (57 и 51 Кбит/ссоответственно). Справедливости ради необходимо отметить, что все эти выкладкиверны лишь при условии, что, кроме указанных переменных, в сети больше ничегоне передается.
1.10 Протоколы виртуальных частных сетей
В настоящее времянаиболее распространенным протоколом VPN является протокол двухточечнойтуннельной связи (Point-to-Point Tunnelling Protocol – PPTP). Разработан онкомпаниями 3Com и Microsoft с целью предоставления безопасного удаленногодоступа к корпоративным сетям через Интернет. PPTP использует существующиеоткрытые стандарты TCP/IP и во многом полагается на устаревший протоколдвухточечной связи РРР. На практике РРР так и остается коммуникационнымпротоколом сеанса соединения РРТР.
РРТР создает туннель через сеть к NT-серверу получателя и передает по немуРРР-пакеты удаленного пользователя. Сервер и рабочая станция используютвиртуальную частную сеть и не обращают внимания на то, насколько безопасной илидоступной является глобальная сеть между ними. Завершение сеанса соединения поинициативе сервера (в отличие от специализированных серверов удаленногодоступа) позволяет администраторам локальной сети не пропускать удаленныхпользователей за пределы системы безопасности Windows NT Server. В результатепользователь использует виртуальную частную сеть, не нанося при этом ущерба функциональнымвозможностям общедоступной сети. Все службы домена NT, включая DHCP, WINS идоступ к Network Neighborhood, безо всяких оговорок предоставляются удаленномупользователю.
Хотя компетенция протокола РРТР распространяется только на устройства, работающиепод управлением Windows, он предоставляет компаниям возможностьвзаимодействовать с существующими сетевыми инфраструктурами и не наносить вредсобственной системе безопасности. Таким образом, удаленный пользователь можетподключиться к Интернету с помощью местного провайдера по аналоговой телефоннойлинии или каналу ISDN и установить соединение с сервером NT. При этом компаниине приходится тратить большие суммы на организацию и обслуживание пула модемов,предоставляющего услуги удаленного доступа.
В ближайшем будущем ожидается рост количества виртуальных частных сетей,развернутых на базе нового протокола туннелирования второго уровня (Layer 2Tunneling Protocol – L2TP). Этот протокол позволяет объединить функционирующиена втором уровне PPTP и L2F (Layer 2 Forwarding – протокол пересылки второгоуровня) и расширить их возможности. Одной из них является многоточечное Туннелирование,позволяющее пользователям инициировать создание нескольких сетей VPN, например,для одновременного доступа к Интернету и корпоративной сети.
Протоколы L2TP и PPTP отличаются отпротоколов туннелирования третьего уровня рядом особенностей:
1. Предоставление корпорациям возможности самостоятельно выбирать способаутентификации пользователей и проверки их полномочий – на собственной«территории» или у провайдера Интернет-услуг. Обрабатывая туннелированныепакеты PPP, серверы корпоративной сети получают всю информацию, необходимую дляидентификации пользователей.
2. Поддержка коммутации туннелей – завершения одного туннеля и инициированиядругого к одному из множества потенциальных терминаторов. Коммутация туннелейпозволяет как бы продлить PPP-соединение до необходимой конечной точки.
3. Предоставление системным администраторам корпоративной сети возможностиреализации стратегий назначения пользователям прав доступа непосредственно набрандмауэре и внутренних серверах. Поскольку терминаторы туннеля получаютпакеты PPP со сведениями о пользователях, они в состоянии применятьсформулированные администраторами стратегии безопасности к трафику отдельныхпользователей. (Туннелирование третьего уровня не позволяет различатьпоступающие от провайдера пакеты, поэтому фильтры стратегии безопасностиприходится применять на конечных рабочих станциях и сетевых устройствах.) Крометого, в случае использования туннельного коммутатора появляется возможностьорганизовать «продолжение» туннеля второго уровня для непосредственнойтрансляции трафика отдельных пользователей к соответствующим внутреннимсерверам. На такие серверы может быть возложена задача дополнительнойфильтрации пакетов.
1.11 Плюсы VPN
Преимущества технологии VPN настолькоубедительны, что многие компании начинают строить свою стратегию с учетомиспользования Интернета в качестве главного средства передачи информации, дажетой, которая является уязвимой. Преимущества VPN уже оценены подостоинству многими предприятиями.
При правильном выборе VPN:
1. мы получаем защищенные каналы связи по ценедоступа в Интернет, что в несколько раз дешевле выделенныхлиний;
2. при установке VPN не требуетсяизменять топологию сетей, переписывать приложения, обучать пользователей — всеэто значительная экономия;
3. обеспечиваетсямасштабирование, поскольку VPN не создает проблем роста и сохраняет сделанные инвестиции;
4. вы независимы от криптографии и можете использовать модуликриптографии любых производителей в соответствии с национальными стандартами той или иной страны;
5. открытые интерфейсы позволяют интегрировать вашу сеть сдругими программными продуктами и бизнес-приложениями.
1.12<span Times New Roman"">
Минусы VPN К ним можно отнести сравнительно низкуюнадежность. В сравнении с выделенными линиями и сетями на основе Frame relayвиртуальные частные сети менее надежны, однако в 5-10, а иногда и в 20 раздешевле. По мнению западных аналитиков, это не остановит продажу VPN, посколькулишь пяти процентам пользователей, торгующих, например, на рынке ценных бумаг,требуются такие высокие стандарты. Остальные 95% не столь серьезно относятся кпроблемам со связью, а затраты большего количества времени на получениеинформации не приводят к колоссальным убыткам.
В силу того, что услуга VPNпредоставляется и поддерживается внешним оператором, могут возникать проблемысо скоростью внесения изменений в базы доступа, в настройки firewall, а также свосстановлением вышедшего из строя оборудования. В настоящее время проблемарешается указанием в договорах максимального времени на устранение неполадок ивнесение изменений. Обычно это время составляет несколько часов, но встречаютсяпровайдеры, гарантирующие устранение неполадок в течение суток.
Еще один существенный недостаток — у потребителей нет удобных средствуправления VPN. Хотя в последнее время разрабатывается оборудование,позволяющее автоматизировать управление VPN. Среди лидеров этого процесса — компания Indus River Networks Inc., дочерняя компания MCI WorldCom и Novell.Как говорят аналитики Forester Research, VPN должны контролироватьсяпользователями, управляться компаниями-операторами, а задача разработчиковпрограммного обеспечения — решить эту проблему.
1.13<span Times New Roman"">
ПерспективыVPN По мере своего развития VPNпревратятся в системы взаимосвязанных сетей, которые будут соединять мобильныхпользователей, торговых партнеров и поставщиков с критически важнымикорпоративными приложениями, работающими в протоколе IP. VPN станут фундаментомдля новых коммерческих операций и услуг, которые будут стимулировать рынок и помогать модернизировать производство.
Вероятно, первым из основныхкомпонентов завтрашних VPN будет сервер каталогов, содержащий профили конечныхпользователей и данные о конфигурации сети. Это будет отдельная компьютернаясистема в корпоративной и частично в общедоступной сети, которой будетуправлять провайдер VPN. При наличии сетевых каталогов, а также обеспечениябезопасности информации и качества обслуживания конечные пользователи смогутпрактически мгновенно устанавливать соединения по VPN.
Вполне возможно, что будет использоваться протокол IpV6, работы над которымактивно продолжаются. Данный протокол обладает всеми возможностямивзаимодействия с VPN, каких только могут пожелать себе сетевые разработчики,включая управление полосой пропускания. Также можно будет определятьпринадлежность IpV6-пакетов к определенному потоку, например, высший приоритетбудут получать пакеты мультимедийных данных для передачи в реальном времени.
Главные игроки сетевого рынка, такие, как Cisco Systems, Cabletron Systems,3Com, Bay Networks, HCL Comnet, уже активно готовятся к грядущему буму VPN.Нынешние вендоры программного обеспечения и оборудования предлагают наборыустройств для того, чтобы создать и эксплуатироватьVPN.
Выгоду от развертывания VPN следующего поколения получат не только сетевыеразработчики — не менее заинтересованы в них и операторы. Фирмы AT&T Level3 Communications, MCI Worldcom и Sprint создают высокоскоростные IP-к