Основы построения и технологии локальных компьютерных сетей
Лекция №15. Технология VPN и варианты построения защищенных
жүктеу/скачать 0,74 Mb. Pdf көрінісі
|
| Лекция №15. Технология VPN и варианты построения защищенных
виртуальных сетей Цель лекций: аббревиатура VPN расшифровывается как Virtual Private Network – «виртуальная частная сеть». Суть этой технологии в том, что при подключении к VPN серверу при помощи специального программного обеспечения поверх общедоступной сети в уже установленном соединении организуется зашифрованный канал, обеспечивающий высокую защиту передаваемой по этому каналу информации за счёт применения специальных алгоритмов шифрования.
В общем случае VPN - это объединение локальных сетей или отдельных машин, подключенных к сети общего пользования, в единую виртуальную (наложенную) сеть, обеспечивающую секретность и целостность передаваемой по ней информации (прозрачно для пользователей). Использование технологии VPN необходимо там, где требуется защита корпоративной сети от воздействия вирусов, злоумышленников, просто любопытных, а также от других угроз, являющихся результатом ошибок в конфигурировании или администрировании сети. Виртуальные частные сети (VPN), создаваемые на базе арендуемых и коммутируемых каналов связи сетей общего пользования (и, в первую очередь, Интернет), являются отличной альтернативой изолированным корпоративным сетям, причем, альтернативой, обладающей рядом несомненных преимуществ: - низкая стоимость арендуемых каналов и коммуникационного оборудования развитая топология сети (широкий географический охват); - высокая надежность; - легкость масштабирования (подключения новых сетей или пользователей);
48
- легкость изменения конфигурации; контроль событий и действий пользователей. Какими свойствами должна обладать VPN? Можно выделить три фундаментальных свойства, превращающих наложенную корпоративную сеть, построенную на базе сети общего пользования, в виртуальную частную сеть: - шифрование; - аутентификация; - контроль доступа. Только реализация всех этих трех свойств позволяет защитить пользовательские машины, серверы предприятия и данные, передаваемые по физически незащищенным каналам связи, от внешних нежелательных вторжений, утечки информации и несанкционированных действий. Ниже приведены примеры реализации решений путем применения технологии VPN. При выборе средств построения защищенных виртуальных сетей необходимо учитывать такие характеристики этих средств, как функциональная полнота, надежность, гибкость, производительность, управляемость и совместимость. Обобщенные достоинства и недостатки средств создания VPN различных категорий представлены в таблице 13.1.
Рисунок 13.1 - пример решения, позволяющий объединить территориально разнесенные ЛВС, удаленный сервер и удаленных клиентов
49
Таблица 13.1 - Достоинства и недостатки средств создания VPN различных категорий Категория Достоинства Недостатки VPN на базе маршрутизаторов Функции поддержки сетей маршрутизирующие устройства, что не потребует дополнительных расходов на приобретение средств, реализующих эти функции. Упрощается администрирование VPN Функционирование VPN может отрицательно повлиять на другой трафик. Канал между получателем информации внутри локальной сети и маршрутизатором может стать уязвимым звеном в системе защиты Программное обеспечение VPN для брандмауэров Возможен контроль туннелируемого трафика Достигается высокая эффективность администрирования защищённых виртуальных сетей Обеспечивается комплексная защита информационного обмена.
Отсутствует избыточность аппаратных платформ для средств сетевой защиты Операции, связанные с шифрованием данных, могут чрезмерно загружать процессор и снижать производительность брандмауэра. Если защищённый туннель завершается на брандмауэре, то канал между получателем информации внутри локальной сети и брандмауэром может стать уязвимым звеном в системе защиты. При повышении производительности серверных продуктов аппаратное обеспечение потребуется модернизировать VPN на базе специализированного программного обеспечения Возможность модернизации и обновления версий. Оперативность устранения ошибок. Не требуется специальных аппаратных средств Администрирование VPN может потребовать отдельного приложения, возможно, даже выделенного каталога. При повышении производительности серверных продуктов аппаратное обеспечение может потребоваться модернизировать VPN на базе аппаратных средств Обеспечивается более высокая
производительность. Многофункциональные аппаратные устройства облегчают конфигурацию и обслуживание. Однофункциональные аппаратные устройства допускают тонкую настройку для достижения наивысшей производительности В многофункциональных блоках производительность одного приложения повышается зачастую в ущерб другому. Однофункциональные устройства могут потребовать отдельных инструментов администрирования и каталогов. Модернизация для повышения производительности нередко оказывается слишком дорогостоящей или невозможной. Канал между получателем информации внутри локальной сети и аппаратным устройством шифрования трафика может стать уязвимым звеном в системе защиты жүктеу/скачать 0,74 Mb. Достарыңызбен бөлісу:
|