Виртуални частни мрежи (VPN)

[Tragedy]

Навремето бях написал тази статия за едни курсове, надявам се да е все още полезна.

 

В условията на съвременния многонационален глобален пазар необходимостта да поддържат все по-голям брой отдалечени и мобилни служители се превръща в императив за компаниите. В основни линии това се постига благодарение на CPE VPN (customer premise equipment virtual private network) - частна мрежа за пренос на данни, която се възползва от достъпната телекомуникационна инфраструктура и същевременно поддържа поверителност на информацията благодарение на протоколи и други процедури, свързани със сигурността. Системата от собствени или наети линии може да се използва само от една фирма. Целта на CPE VPN е да осигури на предприятията същите възможности като частните мрежи, но на много по-ниски цени, като се използва достъпната инфраструктура. Както телекомуникационните компании осигуряват обезопасени споделени ресурси, свързани с телефонните обаждания, така CPE VPN дава възможност за постигане на същото ниво на сигурност за обменените данни.

Въпреки това все по-голям брой противници на виртуалните частни мрежи изразяват мнението, че CPE VPN вече не е актуална технология. Това се дължи на факта, че с наличното оборудване компаниите трябва да могат напълно да конфигурират и подсигуряват своите VPN. В резултат на това се реализират много високи оперативни разходи - предприятието изисква от доставчика да изпрати свои инженери да се справят с техниката на място.

 

 

1. Същност на виртуалните частни мрежи

От години гласа, информацията и почти всички софтуерно определени мрежови услуги се наричат “виртуални частни мрежи” от телефонните компании. Обаче сегашните поколения на тези мрежи са много по-напреднала комбинация от проникване, криптиране, удостоверяване и технологии за контролиране на достъпа и услуги. Частната виртуална мрежа по същество е система, която позволява на две или повече частни мрежи да бъде свързани помежду си чрез публично достъпна мрежа, такава каквато е Интернет. В този смисъл, VPN са подобни на мрежите с широка област (WAN), като те обикновено се състоят от криптиран тунел от определен вид, но най-важната характеристика на VPN е, че използването на публични е много по-евтино, отколкото да разчитат на скъпи, частни наемни линии. Тези мрежи се базират на мрежи с ограничен достъп които използват същите връзки и рутери, както и публичните мрежи и те правят това без да жертват сигурността или възможностите. Виртуалните частни мрежи могат да имат множество форми, в зависимост от използваните различни комбинации от хардуерни и софтуерни технологии. VPN използват комбинации от технологии за достъп, включително Т1, frame relay, ISDN, ATM или обикновен достъп чрез набиране. Тези мрежи могат да съществуват между индивидуални машини и частна мрежа или отдалечени LAN и частна мрежа. В същото време VPN имат същата сигурност и възможности за криптиране като частна мрежа, а също така е много ефективно средство при обмяната на важна информация за работници, работещи в отдалечени клонове, у дома или по пътя. По такъв начин се осигурява сигурен пренос на информация между продавачи, снабдители и бизнес партньори, които могат да са на голямо разстояние помежду си (фиг. 1.).

 

http://pics.softvisia.com/design/pics/4/fig1.JPG

Фиг. 1.

 

Виртуалните частни мрежи използват известни мрежови технологии и протоколи. Клиента изпраща поток от криптирани Point-to-Point Protocol (PPТP) пакети на отдалечен сървър или рутер, вместо да използва поделена линия (както е случая със WAN) и пакетите се предават чрез тунел по ограничена мрежа. Общата идея за използването на този метод е, че компанията намалява телекомуникационните такси които се дължат при свързване на отдалечени потребители и клонове със щаб-квартирата. Тъй като компаниите вече не трябва да инвестират сами в действителна инфраструктура, те могат да намалят техните операционни разходи чрез използване на мрежови услуги от доставчици на услуги.

Обикновено организация, която иска да изгради мрежа с широка област трябва да осигури скъпи публични линии, за да свърже заедно своите офиси. Само големи компании могат да си позволят да закупят тези линии безпроблемно, така че повечето организации “наемат” техните линии и плащат месечна такса, която понякога достига до хиляди долари, за привилегията да използват кабели, които никой друг не може да се свърже. Организацията обикновено инсталира наемна линия WAN, за да поддържа intranet на дълги разстояния. Освен файловото поделяне и електронната поща, тези WAN осигуряват достъп до intranet страници и системи за видео конференции. VPN могат да поддържат същите intranet / extranet услуги както WAN, но те също са известни със своите възможности да поддържат услуги по отдалечен достъп. Напоследък много организации са увеличили мобилността на своите работници, позволявайки им да телекомуникират. Работниците също продължават да пътуват и се сблъскват с нарастващата нужда да останат “включени” в мрежата на компанията. Наемните линии не поддържат добре подвижни работници, защото линиите се провалят в опита си да осигурят подвижност и широка работна площ. Компании, които не използват VPN трябва да използват secure dial-up услуги в такъв случай.

VPN не винаги означава комуникационна изолация, а по-скоро контролирана сегментация на комуникациите за общност от интереси чрез поделена инфраструктура. Най-общата и формална характеристика на VPN и може би най-недвусмислено и стриктно определение е:

Виртуалната частна мрежа е комуникационно оборудване, при което достъпа се контролира за да се допуснат равни връзки само вътре в определената общност от интереси.

По-простичко, по-точно и много по-неформално определение е, че виртуалните частни мрежи са частни мрежи, конструирани в публична мрежова инфраструктура, такава, каквато е и глобалния Интернет.

Също така трябва да се обърне внимание, че докато VPN може да се конструирани да задоволяват голям брой бизнес нужди или технически изисквания, изчерпателното VPN решение осигурява поддръжка за dial-in достъп, свързване на множество отдалечени сайтове чрез наемни линии, възможността на VPN доставчика на услуги да “хоства” множество услуги за клиенти на тези мрежи (например уеб хостинг), и способността да поддържа не само intra-, но също така и inter-VPN връзки, включително и връзки с глобалния Интернет.

Долната фигура (фиг. 2.) илюстрира решения за отдалечен достъп с VPN. Отдалечено разклонение (клиент), желаещ да се включи в мрежата на компанията се обажда на локалния сървър, който е включен в публичната мрежа. VPN клиента установява връзка със VPN сървъра, поддържан от сайта на компанията. Веднъж, след като е установена връзката, отдалечения клиент може да комуникира с мрежата на компанията също толкова сигурно по публичната мрежа, колкото и по вътрешната LAN мрежа. Просто разширение на архитектурата на разширен достъп на VPN, показано по-горе, позволява на цялата отдалечена мрежа (за разлика от просто един отдалечен клиент) да се свързва с местната мрежа. За разлика от връзката клиент-сървър, връзката сървър-сървър на VPN свързва две мрежи във форма на разширен интранет или екстранет. Потребителите на интранет могат също да използват VPN технологията, за да осъществяват контролиран достъп на индивидуални subnets по частна мрежа. В този режим, VPN клиенти се свързват с VPN сървър, който играе ролята на врата към компютрите зад него във subnet. Важно е да се отбележи, че употребата на този тип VPN не включва ISPs или public network cabling. Обаче, се дава преимущество на сигурността и удобството при използването на VPN технологията.

 

http://pics.softvisia.com/design/pics/4/fig2.JPG

Фиг. 2.

 

Веднъж, след като компанията се свърже със VPN сървър, тя може да използва същите приложения, които по принцип използва, за да се свърже с Интернет или може да поръча или наеме подходящите устройства в зависимост от обхвата на мрежата. По нататък това може да бъде използвано за свързване на LAN в различни сайтове или да дава на потребителите, клиентите и консултантите достъп до корпоративните ресурси (фиг. 3.). Често VPN се използват за отдалечени работници като продавачи, за надомни работници или хора с разширено работно време.

 

http://pics.softvisia.com/design/pics/4/fig3.jpg

Фиг. 3.

 

 

2. VPN като алтернатива

Алтернативата на използването на Интернет като VPN в днешно време е да се наемат поредици или подобни комуникационни услуги от оператори на публични мрежи (в повечето случаи това е местната телекомуникационна компания) и да се създаде напълно частна мрежа. Това е пластово обединение, което ни позволява да му дадем името “напълно частно” като тези публични комуникационни услуги са (в най-ниските слоеве на протоколната верига) отново отделни случаи на виртуални частни комуникационни системи, конструирани на върха на системата за общ пренос. Разбира се това не е без прецедент и трябва да се отбележи, че множеството от ранните опити в предаването на информация и много от сегашните архитектури за пренос не се приемат като разгърнат модел на повсеместен публичен достъп.

Обаче тази алтернатива има асоциирана цена, в това, че клиента сега трябва да управлява мрежата и всичките й асоциирани елементи, да инвестира капитал в инфраструктурата за сменяне на мрежата, да наеме обучен персонал, да поеме пълна отговорност за провизионирането и поддържането на съществуването на мрежовите услуги. Такова разширено използване на транспортни услуги, оборудване и персонал често е трудно да се оправдае за множество малки и средни по размер организации и докато функционалността на частната мрежова система е изискуема, изразеното желание е да се намалят цените на услугите чрез употребата на поделени транспортни услуги, оборудване и мениджмънт. Има няколко сценария, които могат да послужат на тези нужди, вариращи от outsourcing на мениджмънта на елементите за обмен по мрежата (менажирани мрежови услуги) до outsourcing на компоненти от капиталовото оборудване (наемни мрежови услуги), до outsourcing на мениджмънта, оборудването и транспортните елементи към доставчика на услуги изцяло.

В простия пример, илюстриран по-долу (фиг. 4.), сайтовете от Мрежа “А” са установили виртуална частна мрежа – VPN (отразени с червени линии) през основната мрежа на доставчика на услуги, където Мрежа “В” е напълно незапозната с нейното съществуване. И двете мрежи “А” и “В” могат хармонично да съществуват заедно на една и съща основна мрежова инфраструктура.

Това в същност е най-общия тип на VPN – такъв, в който има географско разделени подмрежи, които принадлежат на общ административен домейн, свързан от поделена инфраструктура извън техния административен контрол (такъв като глобалния Интернет или единична основна мрежа на доставчик на услуги). Принципната мотивация при изграждането на виртуална частна мрежа от такъв тип е може би множеството от комуникации между устройства в общността на VPN могат да са неустойчиви по природа (отново, решение за нивото на изискваната поверителност почива единствено на рисковия анализ, провеждан от администратора на VPN), все още общата стойност на комуникационната система не оправдава инвестицията във напълно частна комуникационна система, която използва дискретно предавани елементи.

 

http://pics.softvisia.com/design/pics/4/fig4.jpg

Фиг. 4.

 

Също така, нивото на поверителност на виртуалната частна мрежа главно зависи от технологията, която е използвана за конструирането на тази мрежа. Например, ако комуникациите между всяка VPN подмрежа (или между всеки VPN хост) е сигурно криптирана при предаването на обща комуникационна инфраструктура, тогава може да се кажа, че поверителността на тази мрежа е относително висока.

В същност VPN може да се разгледа и още по-подробно, като може да се разбие на още по-малки частици или казано по-точно като единични end-to-end или one-to-one начини за свързване. Примери за тези типове на one-to-one VPN са единичните dial-up потребители, които установяват връзка чрез виртуалната частна мрежа към сървърно приложение, каквито са онлайн банковите услуги, или единичен потребител установяващ сигурна, криптирана сесия между десктоп и сървърно приложение, като транзакции при поръчка от World Wide Web. Този вид one-to-one VPN става все повече и повече преобладаваща като приложение за сигурна електронна търговия.

Интересно е да се отбележи, че концепцията за виртуализирането при мрежите също се счита за разгръщане както на проучвателни, така и на продуктивни услуги на обща инфраструктура. Предизвикателството на проучването и общността за обучение е нужно там, където трябва да се задоволяват едновременно изисквания за проучване и производство. VPN също се считат за метод за изолиран трафик по мрежа, също както трафика на проучванията и производството се определят като “кораби в нощта”, несъзнаващи съществуването на другия, до времето, когато главни събития (например мащабни провали, нестабилност и др) в една общност по интереси се появят. Трябва също да се отбележи че виртуалните частни мрежи могат да бъдат конструирани да обхващат повече от една комуникационна хост мрежа, така че състоянието на VPN може да бъде поддържано от един или повече мрежови доставчици.

 

 

3. Мотивации при изграждането на VPN

Има няколко мотивации за изграждането на виртуална частна мрежа, но общото между всички тях е, че те всички споделят изискването за “виртуализиране” в определена степен при комуникациите на организацията – в друг смисъл, правят част (или може би всички) от комуникациите в основата си “невидими” за външни наблюдатели, докато се възползват от преимуществата на общата комуникационна инфраструктура.

Основната мотивация за VPN лежи в икономиката на комуникациите. Комуникационните системи днес проявяват типичните характеристики на компоненти с висока и фиксирана цена и компоненти с малко варираща цена, които се променят с транспортните възможности на системата. Вътре в тази икономическа среда е много финансово атрактивно да свържеш определен брой дискретни комуникационни услуги във обща комуникационна платформа с висок капацитет, като по този начин се позволява на компонентите с висока фиксирана цена да бъдат амортизирани от голямо количество клиенти. Възможно е група от виртуални мрежи, включени във единична съвместна физическа комуникационна инсталация да бъде по-евтина за опериране отколкото еквивалентна група от малки физически дискретни комуникационни инсталации, всяка от които да обслужва единичен мрежов клиент.

Така че, ако събирането на комуникационните изисквания води до по-висока ценова ефективност на комуникационната инфраструктура, защо да не съберем всички тези услуги в единична публична система? Защо все още има изискване за предприемането на някаква форма на разделение във тази обща система, което резултира в тези “виртуални частни” мрежи?

В отговор на това, втората мотивация за VPN е тази на комуникационната поверителност, където характеристиките и целостта на комуникационните услуги в една затворена среда е изолирано от всички други среди, които поделят обща основна платформа. Това ниво на поверителност зависи до голяма степен от рисковата оценка, извършена от определена организация – ако изискването за поверителност е ниско, тогава простата абстракция за дискретност и мрежовата неизвестност могат да служат на целта. Обаче, ако изискването за поверителност е високо, тогава има отговарящо изискване за голяма сигурност на достъпа и потенциално голяма сигурност, прилагана на преданата информация през общата мрежа.

Една от най-привлекателните страни на виртуалните частни мрежи е потенциалното спестяване от цените. Използването на Интернет за дистрибуция на мрежови услуги на дълги разстояния означава, че компаниите не трябва повече да поръчват скъпи наемни линия за свързват офисите на поделенията или тези на партньорите си, тъй като VPN има нужда само да използва относително къса публична връзка. В организация, в която има голям риск, това може да направи огромни разлики в цените. Когато организация прибавя компании към своята мрежа, броят на наемните линии, които са необходими, нараства показателно. В традиционна WAN това може да ограничи гъвкавостта на прираста, като от друга страна VPN избягват този проблем чрез включване във почти всяка една възможна универсална мрежа.

Виртуалните частни мрежи могат в последствие да намалят цените чрез редуциране на таксите за разговори на дълго разстояние, тъй като клиентите могат да получат достъп чрез включване към най-близката точка на доставчика на услуги. Докато в някои случаи това може да изисква провеждането на разговор на дълго разстояние или използването на услугата 800, то обикновено един градски разговор е достатъчен. Това може драматично да намали телекомуникационните такси за предприятия с множество международни сайтове, понякога в рамките на хиляди долари на човек всеки месец.

Трети начин, по който VPN могат да се отразят в намаляване на разходите е чрез намаляване на товара на компанията по поддръжката. С такъв тип мрежа, доставчика на услуги трябва да поддържа dial-up достъп, вместо организацията, която го използва. Теоретично, доставчика на обществени услуги може да намали стойността на поддръжката, защото тази стойност се поделя между голяма база от клиенти.

И накрая, VPN спестяват оперативни разходи на компанията за оборудване, което е било използвано преди за поддръжка на отдалечени потребители. Компания която използва виртуална частна мрежа може да се отърве от модерните pools, сървъри за отдалечен достъп и друго оборудване за WAN и просто да използват обикновената Интернет инсталация. Много компании наемат няколко линии със различни функции за да създадат VPN.

Компаниите се възползват от гъвкавостта, която идва със VPN, тъй като по принцип те не изискват дългосрочни договори, както е в случая с повечето услуги с информация. Това позволява на компаниите лесно да преминат към по-ниско платени услуги, ако е такова желанието им. Компаниите могат обикновено да установят високоскоростна връзка с Интернет и да я конфигурират в много по-кратък срок, отколкото е нужно при подобни услуги за пренос на данни. В някои чуждестранни държави понякога е нужна цяла година, за да се наеме линия. За някои индустрии, каквито са строителството или застраховането, това може да породи критични различия в операциите на компанията и финансовото й здраве.

VPN технологиите се считат също така за забележително сигурни. От представянето на IPSec, защитата на информация при VPN се е превърнала в стандарт сред доставчиците на услуги. Информацията, която е изпратена по виртуална частна мрежа е поверителна и изисква авторизация, за да бъде получена или препратена. Потребителите могат да авторизират пакети, за да установят валидността на информацията и обикновено непокътнатостта на информацията е гарантирана.

Компаниите могат също да изберат да построя extranet приложение във VPN, за да могат да използват контрола за достъп и услугите по авторизация, за да отказват или да дават достъп до специфична информация на клиенти, търговски партньори или бизнес сътрудници. Това може да помогне за изграждането на лоялност на потребителите, тъй като потребителите, на които е даден достъп на по-високи нива ще бъдат по-малко склонни да преминат към друг бизнес партньор. Същата технология може и да бъде използвана вътрешно да раздели групите от работници на сегментирани групи с различни нива на достъп. Това решение е по-просто и по-икономично, отколкото традиционните методи, използвани от IT специалистите.

VPN базиран extranet може да замени по-скъпа система, каквато е Обмена на електронна информация (EDI), която обикновено изисква потребителски софтуер и използването на доставчик на Мрежа с добавена стойност (VAN). Някои такива мрежи струват между 6 и 12 долара на час свързвано, което е повече от обикновените доставчици на услуги.

 

 

4. VPN и компанията

След като вечен научихме основните факти за виртуалните частни мрежи, следващият въпрос, който трябва да си зададем е дали едно VPN решение е правилно за нашето предприятие и как то трябва да се внедри.

Все повече, управляваните VPN стават избрано решение за мрежи на дълги разстояния за повечето компании. Има естествено малко случаи, където трябва да се приложат други решения. Ако например всички офиси са иначе казано, врата до врата, frame relay или посветена линия могат да са приложими, въпреки че това може да ограничи потенциала за разширяване. За всички други случаи, VPN винаги ще бъдат най-евтиното решение, различно от простата употреба на Интернет, което не осигурява сигурност и малък bandwidth.

Въпреки че в миналото някои VPN не са можели да осигурят сигурност, bandwidth или изискванията за производителност на критичните за мисията усилия, съвременно менажираните VPN са достатъчно усъвършенствани да задоволят всяка една организация.

Идеята за “купуването” на пакет от VPN услуги е сравнително нова и индустрията се развива с постоянни темпове. По тази причина купувачите трябва да са особено предпазливи при намирането на колкото се може повече информация за услугите на даден доставчик и може ли той или не да задоволи техните нужди, които винаги ще варират. За VPN, изискващи предимно site-to-site свързано, ключовите моменти за производителност, сигурност и възможност за управление. Дори и да не сте запознати с технологията, винаги е полезно да знаете “какво е под шапката”, като вид сравнение. Трябва да се обърне внимание на хардуера и типа на firewall защитата (ако има такава), които се използват и да се проучи по-подробно индустрията за да се добие представа за стандартите. Трябва да се разбере какъв тип криптиране и авторизиране предлага доставчика и дали това е достатъчно за вашия проект. Ако използване VPN само за file-sharing, e-mail и за доклади, нямате нужда от голямо криптиране. Ако изпращате по тунел кредитни карти или ако има риск от корпоративен шпионаж или хакерски атаки, трябва да подсилите сигурността си. Общо казано, основното правило е да се набави такава сигурност, каквато може да се позволи като е едновременно разумна от гледна точка на стойността и bandwidth-а.

Ако VPN ще бъде използвана от отдалечени потребители, каквито са подвижните или надомни работници, лесната употреба е от първостепенно значение за клиентите. Тъй като повечето отдалечени потребители използват кабелни dial-up връзки и предават по-малко информация, производителността не е най-важна, колкото е нуждата от система, която е лесно достъпна и изисква колкото се може по-малка поддръжка. Все пак идеята зад всички управлявани услуги е, че не се изисква почти никакво познание от крайния потребител или някакви особени умения, за да може да си служи с тях. Доставчика на VPN се грижи за изпълнението, тестването, поддръжката, конфигурирането, надстройването и наблюдение и всичко това се извършва зад кулисите. В идеалния случай, ако има проблем с мрежата, доставчика трябва да уведоми клиентите преди дори те да са осъзнали, че има такъв.

Друг важен фактор е политиката на компанията по поддръжката и ремонта. Когато е почти невъзможно да се гарантира целостта на хардуера и софтуера от самосебе си, базирано на всички възможни случаи, които могат да изникна, компаниите трябва най-малкото да гарантират определено време за отговор и решение на проблема.

 

 

5. Аспекти на VPN

Наблюдавайки на съставните цели за една виртуална частна мрежа, сигурността е във фокуса на повечето възможни решения днес. Това е така не само защото напоследък конфиденциалността е на преден план, а и също така поради зачестилите хакерски атаки, които носят много главоболия на компютърните специалисти. По тази причина ще разгледаме сигурността, криптирането, достоверността и целостта като едни от най-важните аспекти на VPN. Те правят виртуалните частни мрежи привлекателен избор и чрез тях се доказва важността при вземането на решение за изграждането на определен тип мрежа.

 

5.1. Сигурност

Ключовата дума при “виртуалните частни мрежи” е частни. Последното нещо, което иска бизнеса е съществена корпоративна информация да попадне в ръцете на подрастващ хакер. За щастие, VPN се считат за изключително сигурни, независимо от използването на публични мрежи. С цел да се удостовери идентичността на потребителите на VPN се изисква наличието на firewall. Докато в миналото firewall-ите са били главен източник на главоболия за мрежовите администратори, новите поколения firewall-и са много по-прости за създаване и поддържане. В сегашно време има голямо разнообразие от безпроблемни, пакетирани устройства, които пазят нежеланите пратки навън от мрежата. Множество “черни кутии” на системи за сигурност също така включва определен род система за криптиране, въпреки че някои VPN не включват.

Firewall продукти за VPN, каквито са NetScreen, Watchguard или NetFortress често са относително прости, plug-and-play решения за мрежова сигурност. Системата може да бъде свързана с толкова много LAN мрежи, колкото е нужно, ключовете се обменят между две единици и VPN е завършена. Обаче, тези решения могат да имат голяма цена и правилния избор ще зависи от уникалните мрежови нужди и необходимостта от сигурност на компанията или компаниите, които използват тази мрежа. Общо казано, ако вече притежавате подходящото оборудва и Интернет връзка, решение от типа “извън кутията” не е необходимо.

Всички виртуални частни мрежи изискват конфигурация на устройство за достъп, което е или софтуерно или хардуерно базирано, за да се настрои канал за сигурност. Произволен потребител не може просто да се свърже към даден VPN, тъй като е необходима определена информация, която да осигури на отдалечен потребител достъп до мрежата. Когато се използва заедно със строга авторизация, виртуалната частна мрежа може да предотврати успешното проникване на нарушители в мрежата, дори ако те успеят някак си да се включат към някоя от сесиите на мрежата.

Повечето VPN използват IPSec технологии, развиващата се структура от протоколи, която се е превърнала в стандарт за повечето продавачи. IPSec е полезно, защото е съвместимо с повечето различен VPN хардуер и софтуер и е най-популярен за мрежи с клиенти, които ползват отдалечен достъп. IPSec изисква от клиентите много малко познание, защото авторизацията не е потребителско базирана, което означава, че не се изисква специален знак (какъвто е Secure ID или Crypto Card). Вместо това сигурността идва от IP адреса на работната станция или нейния сертификат, който установява идентичността на потребителя и осигурява идентичността на мрежата. Даден IPSec тунел основно играе ролята на мрежов слой, който предпазва всичките пакети от информация, които преминават, независимо от приложението.

В зависимост от избраното решение е възможно да се контролира типа на трафика, изпратен към VPN решение. Множество устройства позволяват на администратора да определи групово-базиран филтър, който контролира UP адресите и протокол/порт услугите, които се пропускат през тунела. IPSec базираните VPN също позволяват на администратора да определи списък от специфични мрежи и приложения, през които може да премине трафика. Друга страна на IPSec комплиантни продукти е, че те осигуряват единствено контрол за достъп през мрежата и транспортни слоеве и не особено големи мерки за селективно регулиране на достъпа до индивидуални ресурси в тези хостове. Например ако се даде достъп на клиенти за дадена информация на компанията на определен сървър, се изисква високо селективен контрол, за да се увери, че този достъп е само за информацията, която този клиент е упълномощен да види.

Този тип на селективен или еднопосочен достъп вътре в дадена VPN е възможен и в някои не-IPSec решения, каквито са сървърите Aventail's SOCKS 5. В еднопосочна връзка, доверено двупосочно отношение не е приемливо, както е при тунелите на VPN. С този модел, ако има някакъв пробив във сигурността се уврежда само дестинационната мрежа. SOCKS 5 също така има възможност да се заема виртуално с всякакви стандарти за авторизация и криптиране.

 

5.2 Криптиране

За да се уверите че вашата VPN е сигурна, ограничаването на достъпа на потребителите е само едно парче от уравнението; веднъж след като потребителя се е авторизирал, самата информация има нужда също да бъде защитена. Без механизъм, който да осигурява конфиденциалността на информацията, последната, пренасяйки се през тунела, ще бъде предавана като чист текст, който лесно може да бъде разгледан или открадна от крадец на пратки. Повечето модерни VPN използват определен вид криптираща система за да преобразуват информацията в шифрован текст, който след това се декриптира в текст, възможен за четене от получателя.

Типа на възможното криптиране силно вариран. Има две основни криптографски системи: симетрична и асиметрична. Симетричната криптография по-принцип е по-бърза за разгръщане и често се използва за обмен на големи пратки от информация между две групи, които се познават и използват един и същ частен ключ за достъп до информацията. Асиметричната система е много по-сложна и изисква двойка от ключове, които са математически свързани – един публичен и един частен – за да може да се получи достъп до информацията. Този метод често се използва за малки, по-важни пратки от информация или по време на процеса по идентифициране.

Като общо правило, дългите ключове за криптиране са по-сигурни. Дължината в битове на алгоритъма определя необходимите усилия, които са нужни да се проникне в системата, използвайки атаки с “брутална сила”, където компютрите са комбинирани да пресметнат всички ключови разновидности. Понастоящем, някои държави имат правителствени ограничения по повод на силата на криптиране в дадена VPN, каквито са Япония, която изисква многобройни дължини на ключовете в решение за математическо тунелиране.

В САЩ са възможни множество различни схеми за криптиране. Стандартът за криптиране на информация (DES) е на 20 години, обстойно тествана система, която използва сложни симетрични алгоритми, въпреки че се счита за по-малко сигурна, отколкото са сегашните системи. Тройната DES и 3DES използват множество версии на оригиналната версия, за да увеличат дължината на ключовете и по този начин да затегнат сигурността. Други методи като Encapsulated Security Payload или Outer Cipher Block Chaining могат да бъдат използвани за по-нататъшно разбъркване на информацията и поддържане или удостоверяване на нейната цялост. Въпреки че досега не е измислен неразбиваем алгоритъм, една усъвършенствана система за криптиране ще намали до голяма степен шанса да се появят дупки в сигурността на мрежата.

Повечето VPN устройства са хардуерно или софтуерно базирани, като използват определена схема за криптиране и могат да имат различна стойност в зависимост от силата на използваната система. Има множество различни продукти за криптирани тунели от сигурни компании каквито например са Check Point Software, Digital Equipment Corp., Morning Star Technologies и PSINet. Важно е да се има в предвид, че прибавянето на силна система за криптиране към вашата VPN може да забави скоростта за пренос на данни.

Някои продукти също така включва селективно криптиране, което позволява на администраторите да решат дали да криптират трафика по subset или не, по отношение на предаваната информация. В някои случаи може да се избере да се приложи по-здрав алгоритъм за особено важни пратки от информация, които се пращат от сървъра. Комбинацията от селективното криптиране и контрола на достъпа ще позволят на потребителите да създадат специфична криптирана сесия за избрани апликации от VPN, като по този начин се осигурява сигурността на информацията и също така се гарантира и мрежовата сигурност.

Конфиденциалността предпазва информацията, която се предава между комуникационни единици. По този повод всяко едно VPN решение предлага определен вид криптиране. Основните две криптографски системи, които се употребяват днес са secret key cryptography и public key cryptography. Те използват поделен ключ, който се използва за криптиране и декриптиране на съобщения. Основния проблем при частното ключово криптиране е размяната на ключа. Изпращането на тайни ключове по Интернет, които не са криптирани не е удобно по видими причини. Това е мястото, където може да помогне публичната криптография. Публичната криптография с ключ използва математически свързани ключови двойки за всяка комуникационна общност. Това означава, че информацията, криптирана с даден ключ може да бъде декриптирана само с другия ключ от двойката. Изпращателя може да криптира съобщение със публичния ключ на получателя, който както показва името е публично достъпен (например на сървър). Получателя може да декриптира съобщението като използва неговия или нейния собствен личен ключ.

Системата на публичния ключ позволява криптирането по несигурна мрежа, а също така и механизъм за размяна на секретни ключове. От друга страна, публичната криптография с ключ е компютърно интензивна и следователно често се комбинира със секретен ключ за криптиране и по този начин да се постигне най-доброто съчетание на производителност и функционалност.

 

5.3 Цялостност

Цялостността застрахова, че информацията, която се изпраща по публичния Интернет не е променена по никакъв начин по време на транзита. VPN обикновено използват една от трите технологии за да осигурят цялостността на информацията, а те са:

• еднопосочни hash функции – тази функция генерира изходна стойност с фиксирана дължина, която се базира на входен файл с произволна дължина. Идеята е, че е лесно да се калкулира hash стойността на файл, но е математически трудно да се генерира файл, който да отразява тази стойност. За да се потвърди целостта на даден файл, получателя ще изчисли hash стойността на този файл и ще я сравни със същата тази стойност, изпратена от подавателя. По този начин получателя може да се увери че подавателя е притежавал файла по времето, когато е създал hash стойността. Примери за hash алгоритми са MD5, SHA-1 и RIPE-MD-160.

• кодове достоверност на съобщението (MACs) – тези кодове просто добавят ключ към hash функцията. Изпращача ще създаде файл, ще изчисли МАС, базиран на ключа, който поделя с получателя и след това ще го приложи към този файл. Когато получателя получи файла, ще му бъде лесно да пресметне МАС и да я сравни с тази, която е била прикрепена към файла.

• дигитални подписи – те също могат да бъдат използвани с цел достоверност на информацията. Дигиталния подпис в основата си е криптография с публичен ключ, само че наобратно. Подавателя се “подписва” дигитално на документа със своя личен ключ и получателя може да провери подписа чрез публичния ключ на изпращача.

 

5.4 Достоверност (автентичност)

Достоверността осигурява самоличността на всички комуникационни групи. За да идентифицират правилно самоличността на даден индивид или компютърен източник, VPN обикновено използват една или повече форми на автентичност. Тези методи обикновено се базират на автентичност на паролите или дигитални сертификати. Автентичността на паролите е най-широко разпространената форма на потребителска автентичност, която се използва в наше време при компютърните системи, но също така и една от най-слабите, защото паролите могат да бъдат отгатнати или откраднати. Мултифакторната автентичност по принцип е по-силна форма на достоверност и е базирана на обстоятелството за използването на дадено приложение с някого, когото познавате. Този процес е подобен на начина, по който се използват повечето АТМ карти – потребител притежават физическа АТМ карти и я “отключва” с парола.

Например множество виртуални частни мрежи поддържат SecurID на Security Dynamics, token карта, която комбинира криптиране със секретен ключ и еднократна парола. Паролата автоматично се генерира чрез криптиране със секретния ключ. Тази еднократна парола ще бъде валидна за кратък интервал, който обикновено е от 30 до 60 секунди.

Дигиталните сертификати също се превръщат в преобладаващ механизъм за удостоверяване при VPN. Дигитален сертификат (базиран на стандарта Х.509) е електронен документ, който се издава на индивид от "Certificate Authority” и може да гарантира идентичността на индивида. В основата си той привързва идентичността на индивида към публичния ключ. Дигиталния сертификат ще съдържа публичен ключ, информационна спецификация на потребителя (име, компания и т.н.), информационна спецификация за ?

[VaillanT]

Може би е обяснено, но не ми стана ясно, виртуалната частна мрежа създадена между 2 компютъра с протокол PPTP или L2TP, поддържа ли IPX протокол?

В нашият случай сме създали VPN мрежа, от предоставената за това възможност от Windows, но при свързване ни се получава следното съобщение:

http://pics.softvisia.com/design/pics/4/problemsipxprezvpn3jo.jpg

Възможно ли е някойя настройка да сме пропуснали или просто този тип мрежа не може да поддържа IPX/SPX протокола?

[Petar_kir2000]

Здравейте,

Аз съм нов в този форум, но виждам, че доста интересни неща се публикуват и то на професионално ниво.

Аз не съм мрежов специалист - повече любител, но четейки всичко в статията по-горе и много от наличното в Microsoft и други релийзи, едно нещо не ми стана ясно - Може ли VPN да се ползва за домашни нужди, заслужава ли си, и как да се изгради мрежата;

Идеята ми е - домашна мрежа(2-3 PCs с рутер) с достъп до ресурсите от извън мрежата - през Интернет?

Какви са хардуерните изисквания, и с какви ОС може да стане- ако ли де?