Основы построения и технологии локальных компьютерных сетей


Лекция №15. Технология VPN и варианты построения защищенных



Pdf көрінісі
бет21/24
Дата07.01.2022
өлшемі0,74 Mb.
#19409
түріКонспект
1   ...   16   17   18   19   20   21   22   23   24
Байланысты:
kt 2

Лекция №15. Технология VPN и варианты построения защищенных 

виртуальных сетей 

 

Цель  лекций:  аббревиатура  VPN  расшифровывается  как  Virtual  Private 

Network  –  «виртуальная  частная  сеть».  Суть  этой  технологии  в  том,  что  при 

подключении  к  VPN  серверу  при  помощи  специального  программного 

обеспечения  поверх  общедоступной  сети  в  уже  установленном  соединении 

организуется  зашифрованный  канал,  обеспечивающий  высокую  защиту 

передаваемой по этому каналу информации за счёт применения специальных 

алгоритмов шифрования. 

 

В общем случае VPN - это объединение локальных сетей или отдельных 



машин,  подключенных  к  сети  общего  пользования,  в  единую  виртуальную 

(наложенную) 

сеть, 

обеспечивающую 



секретность 

и 

целостность 



передаваемой по ней информации (прозрачно для пользователей). 

Использование технологии VPN необходимо там, где требуется защита 

корпоративной  сети  от  воздействия  вирусов,  злоумышленников,  просто 

любопытных,  а  также  от  других  угроз,  являющихся  результатом  ошибок  в 

конфигурировании или администрировании сети. 

Виртуальные  частные  сети  (VPN),  создаваемые  на  базе  арендуемых  и 

коммутируемых  каналов  связи  сетей  общего  пользования  (и,  в  первую 

очередь,  Интернет),  являются  отличной  альтернативой  изолированным 

корпоративным  сетям,  причем,  альтернативой,  обладающей  рядом 

несомненных преимуществ: 

-  низкая  стоимость  арендуемых  каналов  и  коммуникационного 

оборудования развитая топология сети (широкий географический охват); 

- высокая надежность; 

легкость  масштабирования  (подключения  новых  сетей  или 



пользователей); 


 

 

 



 

48 


-  легкость  изменения  конфигурации;  контроль  событий  и  действий 

пользователей. 

Какими свойствами должна обладать VPN? 

Можно  выделить  три  фундаментальных  свойства,  превращающих 

наложенную  корпоративную  сеть,  построенную  на  базе  сети  общего 

пользования, в виртуальную частную сеть: 

- шифрование; 

- аутентификация; 

- контроль доступа.  

Только  реализация  всех  этих  трех  свойств  позволяет  защитить 

пользовательские  машины, серверы предприятия и данные,  передаваемые  по 

физически  незащищенным  каналам  связи,  от  внешних  нежелательных 

вторжений,  утечки  информации  и  несанкционированных  действий. 

Ниже  приведены  примеры  реализации  решений  путем  применения 

технологии VPN. 

При  выборе  средств  построения  защищенных  виртуальных  сетей 

необходимо 

учитывать 

такие 

характеристики 



этих 

средств, 

как 

функциональная  полнота,  надежность,  гибкость,  производительность, 



управляемость  и  совместимость.  Обобщенные  достоинства  и  недостатки 

средств создания VPN различных категорий представлены в таблице 13.1. 

 

 

 



Рисунок 13.1 - пример решения, позволяющий объединить 

территориально разнесенные ЛВС, удаленный сервер и удаленных клиентов 

 

 

 



 

 

 




 

 

 



 

49 


Таблица  13.1  -  Достоинства  и  недостатки  средств  создания  VPN 

различных категорий 

Категория 

Достоинства 

Недостатки 

VPN на базе 

маршрутизаторов 

Функции поддержки сетей 

VPN могут быть встроены в 

маршрутизирующие 

устройства, что не потребует 

дополнительных расходов на 

приобретение средств, 

реализующих эти функции. 

Упрощается 

администрирование VPN 

Функционирование VPN может 

отрицательно повлиять на другой 

трафик. 

Канал между получателем информации 

внутри локальной сети и 

маршрутизатором может стать 

уязвимым звеном в системе защиты 

Программное 

обеспечение VPN для 

брандмауэров 

Возможен контроль 

туннелируемого трафика 

Достигается высокая 

эффективность 

администрирования 

защищённых виртуальных 

сетей 

Обеспечивается комплексная 



защита информационного 

обмена. 


Отсутствует избыточность 

аппаратных платформ для 

средств сетевой защиты 

Операции, связанные с шифрованием 

данных, могут чрезмерно загружать 

процессор и снижать 

производительность брандмауэра. 

Если защищённый туннель 

завершается на брандмауэре, то канал 

между получателем информации 

внутри локальной сети и брандмауэром 

может стать уязвимым звеном в 

системе защиты. 

При повышении производительности 

серверных продуктов аппаратное 

обеспечение потребуется 

модернизировать 

VPN на базе 

специализированного 

программного 

обеспечения 

Возможность модернизации 

и обновления версий. 

Оперативность устранения 

ошибок. 

Не требуется специальных 

аппаратных средств 

Администрирование VPN может 

потребовать отдельного приложения, 

возможно, даже выделенного каталога. 

При повышении производительности 

серверных продуктов аппаратное 

обеспечение может потребоваться 

модернизировать 

VPN на базе 

аппаратных средств 

Обеспечивается более 

высокая 


производительность. 

Многофункциональные 

аппаратные устройства 

облегчают конфигурацию и 

обслуживание. 

Однофункциональные 

аппаратные устройства 

допускают тонкую 

настройку для достижения 

наивысшей 

производительности 

В многофункциональных блоках 

производительность одного 

приложения повышается зачастую в 

ущерб другому. 

Однофункциональные устройства 

могут потребовать отдельных 

инструментов администрирования и 

каталогов. 

Модернизация для повышения 

производительности нередко 

оказывается слишком дорогостоящей 

или невозможной. 

Канал между получателем информации 

внутри локальной сети и аппаратным 

устройством шифрования трафика 

может стать уязвимым звеном в 

системе защиты 





Достарыңызбен бөлісу:
1   ...   16   17   18   19   20   21   22   23   24




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет